it-swarm.com.ru

SSL Comodo: ERR_CERT_AUTHORITY_INVALID на мобильных устройствах Chrome и Opera Mobile (Android)

В некоторых мобильных браузерах, таких как Chrome mobile для Android, я получаю ошибку ERR_CERT_AUTHORITY_INVALID при подключении к своему веб-сайту https .. У меня нет этой проблемы во всех мобильных браузерах (например, Firefox), и нет проблем на ПК.

Мой сертификат является сертификатом расширенной проверки Comodo Я заключаю договор с Gandi.net, французским центром сертификации SSL, и Ганди отвечает за получение сертификата Comodo EV и его выдачу мне .. Ганди дал мне базу Сертификат PEM + промежуточный сертификат PEM. Я установил оба.

Я сделал анализы на https://www.ssllabs.com/ssltest/analyze.html и там написано "дополнительная загрузка" для одного из сертификатов (называемого "COMODO RSA Certification Authority"), пока я устанавливал все сертификаты Я получил от Ганди.

Я пытался заглянуть в эту ветку, но это не помогло: SSL-сертификат "err_cert_authority_invalid" только для мобильного chrome

Кто-то знает, что не так? Благодарю.

17
Julien Salinas

Для интересующихся вот как я решил проблему. 

Проблема: в моей цепочке сертификатов отсутствовал промежуточный сертификат Comodo. Мой центр сертификации SSL (Gandi.net) отвечал за отношения с Comodo, и Ганди дал мне только два сертификата: базовый сертификат + промежуточный сертификат. Оба были в формате .pem. Я установил оба, и этого было достаточно практически для любого браузера, кроме пары мобильных браузеров. На самом деле промежуточный сертификат Comodo под названием «Центр сертификации COMODO RSA» отсутствовал.

Решение в 2 этапа: 

1) нашел репозиторий, содержащий все сертификаты Comodo, здесь https://support.comodo.com/index.php?/Default/Knowledgebase/Article/View/620/0/which-is-root-which-is- промежуточный . С этой страницы я копирую вставленный файл в формате .PEM https://support.comodo.com/index.php?/Default/Knowledgebase/Article/View/977/108/extended-validation-sha-2 ( здесь он называется «# промежуточный1», а не «COMODO RSA Certification Authority»).

2) объединил этот новый промежуточный сертификат с первым промежуточным сертификатом, который у меня уже был (на веб-сайте Comodo он называется «# промежуточный2»), поместив этот новый сертификат в конец первого сертификата. Я сделал это так: 

-----BEGIN CERTIFICATE-----
intermediate#2
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
intermediate#1
-----END  CERTIFICATE-----

Надеюсь, это поможет!

11
Julien Salinas

Я размещаю свой сайт под nginx, и у меня также была такая же проблема с моим приложением для Android. Вышеуказанный принятый ответ направил меня к моему решению:

Когда я получил сертификат (my-domain.crt), я создал файл crt с привязкой, который был сгенерирован путем объединения моего сертификата с ComodoRSADomainCA и ComodoRSAAddTrustCA PEM содержимым

cat my-domain.crt ComodoRSADomain.crt ComodoRSAAddTrustCA.crt > ssl-boundle.crt

Когда я связал ssl-boundle.crt с nginx, у клиентов не возникло проблем с обменом данными. А также я получил этот хороший результат на ssllabs :

 The happy score :)

5
RonzyFonzy

Цепочка сертификатов неполная. «Дополнительная загрузка» доказывает это.

Вы должны отправить цепочку, включая недостающий сертификат, указанный в ssllabs.

Обратите внимание, что подключение работает большую часть времени, потому что браузеры хранят кэш на сертификатах.

3
Tom

После создания пакета, если проблема не исчезла, в моем случае было несколько лишних пробелов в конце .pem, и Chrome показывался небезопасным и на Firefox работал хорошо. После того, как я удаляю их, все идет хорошо, надеюсь, это поможет кому-то.

0
onalbi