【问题标题】:SSL Issue < Warning Users Not Secure However SSL Applied>SSL 问题 <警告用户不安全但 SSL 应用>
【发布时间】:2015-10-24 19:06:46
【问题描述】:

您好,我们在服务器上安装了 URL 的 PositiveSSL 通配符证书,据我所知,一切正常,但是在启动过程中,我们已经发送了 100,000 封邮件,其中 20,000 封邮件已发送重新注册,但是一些人已经联系了 ref MIM 攻击,指出该站点/应用程序不安全,但据我们所见,我们没有收到任何通知,而且似乎只有少数人(特别是 Chrome 用户) 有些是移动的,有些是基于网络的。

附件是关于 comodo ssl 的阅读,一切正常,但有一点警告,我不确定这是否真的会影响我们,因为我们已经有了这个。

https://goo.gl/w6qCHs

你有什么建议?

谢谢

【问题讨论】:

  • 证书链未找到,安装证书链或联系供应商获取合适的中间/链

标签: security ssl encryption wildcard-subdomain


【解决方案1】:

首先,您在该链接中提供的 URL 不是通配符子域证书。

但主要问题是您没有提供中间证书。

证书对网站有效,它通常由一个或多个中间证书签名,然后由 Web 浏览器预安装和信任的证书签名。如果 Web 浏览器无法将信任链建立回它已经知道您的证书,则会收到此错误。

Web 服务器可以提供网站证书,或网站证书和中间证书。通常建议使用后者,因为它可以帮助浏览器快速建立信任链。某些浏览器默认情况下可能在其信任存储中拥有一些中间证书,如果他们访问过使用它们的站点,可能已经拥有它们,或者甚至可能会自动尝试下载中间证书,但这不能保证。

所有这些都可以通过ssllabs.com server test 运行您的网站来查看。这显示了相同的“小警告”、完整的信任链(实际上,您的站点可能有两个链,但最好安装允许最短链的中间体),以及有关您的 SSL 设置的许多其他有用信息(实际上除了这个缺少的中间证书问题之外看起来非常好)。

如何配置 Web 服务器以返回中间证书取决于您的服务器。看起来您正在运行 nginx(最好关闭会泄露软件信息的服务器 http 标头,但这是另一回事)所以通常您只需将中间证书和服务器证书连接到一个 .crt 文件中(这些通常只是带有证书信息编码的文本文件)。如需更多信息,请参阅此处:http://nginx.org/en/docs/http/configuring_https_servers.html#chains

请注意,您也可以在服务器上配置过多的证书。这是浪费精力。例如,不需要根证书,因为这将在浏览器中。修复后使用 ssllabs.com 重新测试以确认一切正常。

【讨论】:

  • 有通配符证书,但仅适用于非 SNI 浏览器。但是与非通配符有相同的问题,即缺少链证书。
  • 好的。您是如何出于兴趣发现这一点的?
  • 我使用my own tool 尝试使用 SNI 和不使用,并显示是否存在差异。但是没有-servername 参数的简单openssl s_client 也可以。
猜你喜欢
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 2018-07-14
  • 1970-01-01
  • 1970-01-01
  • 2013-07-11
  • 1970-01-01
  • 1970-01-01
相关资源
最近更新 更多