【问题标题】:Let's Encrypt certificate not trusted on Firefox让我们加密在 Firefox 上不受信任的证书
【发布时间】:2017-07-25 11:17:06
【问题描述】:
【问题讨论】:
标签:
firefox
ssl-certificate
iis-8
windows-server-2012-r2
lets-encrypt
【解决方案1】:
粗略检查后,您似乎已安装并配置了有效的 SSL 证书。然而,Qualsys SSL Labs 工具提供的更彻底的分析暴露了一些问题:https://www.ssllabs.com/ssltest/analyze.html?d=beta.gplay.ro&latest
首先,与证书直接相关,您的服务器不向客户端提供证书链,仅提供域证书。这要求他们自己去下载Lets Encrypt Authority X3 证书,以便将链重建回DST Root CA X3。任何在其信任库中没有该中间证书且未能成功下载副本的客户端都将无法通过验证。
其次,您的服务器启用了对 SSLv3 的支持,这已被弃用并被视为安全风险,因为它使服务器暴露于大量漏洞,例如 POODLE。您还启用了对几个非常弱的密码的支持,但这没有帮助。
我建议将 IIS 配置为提供完整的证书链而不仅仅是域证书,并尽可能禁用对 SSLv3 的支持。如果 Firefox 在此之后仍然不喜欢您的证书,则可能需要进行更深入的故障排除。