Сертификат SSL для моего сайта https://www.snipsalonsoftware.com/ не работает на Android. При устранении этой проблемы я подключил свой сайт к инструменту тестирования Qualys SSL Labs:
https://www.ssllabs.com/ssltest/analyze.html?d=www.snipsalonsoftware.com&s=50.57.181.104
Этот отчет, кажется, говорит мне, что у меня есть "проблемы с цепочкой". Что-то "неполное". Но у меня возникают проблемы с пониманием того, что является неполным.
В следующем разделе, в разделе «Пути сертификации», я вижу оранжевым (и я предполагаю, что оранжевый означает «довольно плохо») «Дополнительная загрузка». Я понятия не имею, что это значит или как это исправить. Я нашел эту ветку , но не могу сказать, как перевести то, что они говорят, в решение для меня.
Что я должен делать?
Сертификат может содержать специальное расширение доступа к информации о полномочиях ( RFC-3280 ) с URL-адресом сертификата эмитента. Большинство браузеров могут использовать расширение AIA для загрузки отсутствующего промежуточного сертификата для завершения цепочки сертификатов. Но некоторые клиенты (мобильные браузеры, OpenSSL) не поддерживают это расширение, поэтому сообщают о таком сертификате как о ненадежном.
Вы можете решить проблему неполной цепочки сертификатов вручную, объединив все сертификаты от сертификата до доверенного корневого сертификата (исключительно в этом порядке), чтобы предотвратить такие проблемы. Обратите внимание, что доверенный корневой сертификат не должен быть там, так как он уже включен в хранилище корневых сертификатов системы.
Вы должны быть в состоянии получить промежуточные сертификаты от эмитента и объединить их вместе самостоятельно. Я написал сценарий для автоматизации процедуры, он зацикливается на расширении AIA для получения правильных цепочек сертификатов. https://github.com/zakjan/cert-chain-resolver
источник
Go