【问题标题】:StartSSL SSL certificate showing up as net::ERR_CERT_AUTHORITY_INVALID in browserStartSSL SSL 证书在浏览器中显示为 net::ERR_CERT_AUTHORITY_INVALID
【发布时间】:2017-07-06 19:55:22
【问题描述】:

我已经为我的开发域“购买”了 3 年 StartSSL 免费的 1 类 DV 证书,并按照他们的说明将其安装在 NGINX 上。

我注意到他们提供的 nginx 证书包含 DV 证书,其中添加了我的 10 个域别名,还有中间证书,他们说根据浏览器应该是有效的(我已经在 Chrome 和Firefox 的结果相似)。

证书显示为无效:https://gb.qa.vendigo.build/

然而,几乎每个 SSL 验证工具都将其显示为一个完整的链,完全没有问题,除了一个工具:

http://www.sslchecker.com/sslchecker?su=1e9941a064b5bc0b92fbfa310aae796b

显示缺少“根”证书。但是,添加该根证书并没有帮助,实际上 SSL 检查器(上面列出的)随后会将根显示为存在,但随后会列出另一个丢失的证书。下载和安装这些证书只会使该链继续增长无济于事。

我现在已经陷入困境了!我是否遗漏了一些明显的东西,或者这只是一个糟糕的证书?

nginx 配置如下:

# gb.qa.vendigo.build
upstream cc574309c4214a6c01eb8d3dbe9f701eee9daf3d {
            ## Can be connect with "bridge" network
            # sample-1.antony-cert-test.11b35827
            server 172.17.0.6:80;
            ## Can be connect with "dockercloud" network
            # sample-1.antony-cert-test.11b35827
            server 10.7.0.24:80;
}
server {
    server_name gb.qa.vendigo.build;
    listen 80 ;
    listen [::]:80 ;
    access_log /var/log/nginx/access.log vhost;
    return 301 https://$host$request_uri;
}
server {
    server_name gb.qa.vendigo.build;
    listen 443 ssl http2 ;
    listen [::]:443 ssl http2 ;
    access_log /var/log/nginx/access.log vhost;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers 'ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-   POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS';
    ssl_prefer_server_ciphers on;
    ssl_session_timeout 5m;
    ssl_session_cache shared:SSL:50m;
    ssl_session_tickets off;
    ssl_certificate /etc/nginx/certs/vendigo.build.crt;
    ssl_certificate_key /etc/nginx/certs/vendigo.build.key;
    add_header Strict-Transport-Security "max-age=31536000";
    location / {
        proxy_pass http://cc574309c4214a6c01eb8d3dbe9f701eee9daf3d;
    }
}

【问题讨论】:

标签: ssl nginx docker https


【解决方案1】:

Distrusting New WoSign and StartCom Certificates

检查letsencrypt,应该可以满足你的需求。

【讨论】:

  • 嘿 - 谢谢你的建议。不幸的是,我们的一个供应商缓存了我们的 SSL 证书,因此letsencrypt 的 3 个月轮换虽然在去年表现出色,但却给我们带来了问题。
【解决方案2】:

感谢我的朋友 Geoff 和 @tkausl 的快速答复 - StartSSL 不再被视为信誉良好的提供商:

https://danconnor.com/posts/50f65364a0fd5fd1f7000001/avoid_startcom_startssl_like_the_plague_

以及@tkausl 回复中的链接,奇怪的是我的任何搜索中都没有出现该链接。

我想我会为证书付费!

【讨论】:

    猜你喜欢
    • 2016-01-31
    • 2016-06-24
    • 1970-01-01
    • 2021-11-21
    • 2021-11-25
    • 2018-05-04
    • 2016-08-24
    • 1970-01-01
    • 2018-05-21
    相关资源
    最近更新 更多