【问题标题】:StartSSL certificate not trusted in Firefox and on AndroidStartSSL 证书在 Firefox 和 Android 上不受信任
【发布时间】:2017-03-02 20:19:01
【问题描述】:

Apache 服务器,遵循此处的指南:https://www.startssl.com/Support?v=21

httpd.conf:

SSLEngine on
SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite ALL:!DH:!EXPORT:!RC4:+HIGH:+MEDIUM:!LOW:!aNULL:!eNULL
SSLCertificateFile "/usr/local/apache2/conf/domain.crt"
SSLCertificateKeyFile "/usr/local/apache2/conf/private.key"
SSLCertificateChainFile "/usr/local/apache2/conf/1_root_bundle.crt"

在 Chrome 中运行良好,但 Firefox 产生以下错误:

Error code: SEC_ERROR_UNKNOWN_ISSUER

https://www.sslshopper.com/ssl-checker.html 的分析表明:

并非所有 Web 浏览器都信任该证书。您可能需要安装中间/链证书以将其链接到受信任的根证书。了解有关此错误的更多信息。您可以按照适用于您的服务器平台的 StartCom 证书安装说明来解决此问题。注意中间证书部分。

如何使链有效?

【问题讨论】:

  • 那是我链接到的指南。我已经添加了在 httpd.conf 中看到的链文件。
  • 您使用的是哪个版本的 apache,因为(来自 documentationSSLCertificateChainFile 在 2.4.8 版中已过时,当时 SSLCertificateFile 被扩展为也从服务器证书文件加载中间 CA 证书. 因此,可能会忽略此设置,这将适合有关 ssl 检查器中缺少链证书的信息。也请检查服务器的错误日志。
  • @SteffenUllrich 谢谢,我确实使用的是 2.4.23,SSLCertificateChainFile 指令已过时。在 httpd.conf 中删除该行并在服务器上执行 cat 1_root_bundle.crt >> server.crt 就可以了。它现在可以在 Firefox 和 Android 上正常运行。你会考虑让你的评论成为答案吗?
  • 另见:StartSSL certificate gives SEC_ERROR_REVOKED_CERTIFICATE in Firefox and ERR_CERT_AUTHORITY_INVALID in Chrome StartSSL 证书不再被主流浏览器信任,因为公司搞砸了。

标签: android apache firefox ssl


【解决方案1】:
SSLCertificateChainFile "/usr/local/apache2/conf/1_root_bundle.crt"   

...您可能需要安装中间/链证书以将其链接到受信任的根证书

SSLCertificateChainFile 选项在 Apache 版本 2.4.8 中已过时,并且需要将任何链证书添加到 SSLCertificateFile。由于您根据您的评论使用 2.4.23,这意味着此设置被忽略。这意味着没有向客户端发送链证书,导致验证错误。尽管指出了无效设置,但您应该已经在错误日志中收到一条消息。

【讨论】:

    【解决方案2】:

    我猜你不能。 Mozilla 计划从 2016 年 10 月开始为期一年的不信任 StartSSL 颁发的证书。最好使用 Let's encrypt 作为 StartSSL(也称为 StartCom 有麻烦)。您所看到的可能就是这种情况。

    如果好奇,您可以阅读更多内容:

    【讨论】:

      猜你喜欢
      • 2013-11-01
      • 1970-01-01
      • 2016-01-20
      • 1970-01-01
      • 2012-07-05
      • 1970-01-01
      • 1970-01-01
      • 2017-07-25
      • 2014-12-17
      相关资源
      最近更新 更多