使用 HTTPS 终端节点时从 Amazon SNS 获取“SSLPeerUnverifiedException”

Question

我无法让 Amazon SNS 向我的 HTTPS 终端节点发送订阅消息。 CloudWatch 日志报告以下内容：

{
    "delivery": {
        "deliveryId": "7bdda6a5-0000-5d6d-b0c0-e9b254fde521",
        "destination": "https://www.beta.yogacentre.com/webhooks/sns",
        "providerResponse": "SSLPeerUnverifiedException in HttpClient",
        "dwellTimeMs": 63661,
        "attempts": 4
    },
    "status": "FAILURE"
}

它看起来不像我使用的 SSL 证书，但我确认根 CA 是 on the list SNS checks. Chrome 报告我的连接使用 TLS 1.2，因此它应该与 recent end of SSLv3 support. 兼容

作为一个健全的检查，我尝试订阅一个常规的 HTTP 端点，它立即工作。什么可能导致问题？我的证书可以在https://www.beta.yogacentre.com/ 找到，以防我遗漏了什么。

Answer 1

查看来自SSLLabs 的该网站的报告，您会看到：

此服务器的证书链不完整。等级上限为 B。

这意味着服务器没有正确设置，因为它没有发送所有需要的链证书，即站点的叶证书和浏览器或系统信任的根证书之间的信任路径中的所有内容。查看详细信息，您将看到服务器仅发送叶证书，并且“COMODO RSA 域验证安全服务器 CA”的缺失证书被标记为“额外下载”。

虽然某些浏览器（如 Chrome）会从 Internet 下载丢失的证书，但其他浏览器不会，浏览器之外的应用程序也不会这样做。因此，所有这些不知道缺少链证书的客户端都将失败，因为它们无法构建信任链，这会导致您看到 SSLPeerUnverifiedException。因此，您需要修复您的服务器配置以发送丢失的链证书。详细信息取决于服务器配置。