Сделайте так, чтобы SSL-сертификат работал одинаково в настольном и мобильном браузере

864
Sergey

При просмотре моего защищенного с помощью SSL сайта через настольный компьютер / ноутбук цепочка сертификатов в порядке и заслуживает доверия

Desktop browser Certificate

Я проверил здесь и обнаружил, что цепочка сертификатов является неполной (требуется дополнительный промежуточный сертификат). SSL check

Однако похоже, что браузеры для настольных компьютеров и ноутбуков могут восстановить цепочку и загрузить необходимые сертификаты.

Но при переходе на мобильные браузеры (особенно на Android) возникают следующие ошибки:

Mobile Firefox

Mobile Android

Обратите внимание, что на iOS (iPhone \ iPad) никаких предупреждений безопасности нет, и сайт отображается как «зеленый» со значком замка.

iPad browser

Как правильно смягчить предупреждения мобильного браузера? Может быть, переоформить сертификат?

0

1 ответ на вопрос

0
Spiff

Если я возьму на себя работу по расследованию, которую вы уже выполнили за чистую монету, похоже, что ваши Android-устройства уже не доверяют промежуточному центру сертификации, который выдал соответствующий сертификат сервера, и не хотят просто загружать и начинать доверять этому. промежуточный сертификат CA

Похоже, у вас есть два варианта:

  1. Предварительно установите этот промежуточный сертификат CA и отметьте его как доверенный на всех ваших устройствах Android.
  2. Купите другой сертификат сервера, выданный центром сертификации, которому уже доверяют все ваши устройства.

Я предполагаю, что вполне возможно, что эти устройства Android могут принять промежуточный сертификат CA, если он был предложен как часть цепочки сертификатов, которую веб-сервер отправляет в начале согласования TLS. Возможно, вы захотите убедиться, что на вашем веб-сервере установлена ​​копия промежуточного сертификата CA, и что он предлагает ее как часть согласования TLS.

Я надеюсь, что вы понимаете невозможность предварительной установки промежуточного сертификата на всех устройствах конечного пользователя, особенно когда мы планируем запустить его в эксплуатацию :) Однако, возможно, вы можете посоветовать, что именно я должен сказать CA, как thawte, чтобы они выпустили новый сертификат без промежуточного сертификата (или с глобальным доверенным промежуточным сертификатом), поскольку я не знаю правильный путь? Sergey 7 лет назад 0
@ Сергей Хаха, да. Я не был уверен, что это публичный сайт. Я видел, как люди покупали общедоступные сертификаты для внутренних веб-сайтов, поэтому было вполне возможно, что распространение нового сертификата на все мобильные устройства вашей компании будет решением. Я думаю, что вы должны рассказать Thawte о вашей промежуточной проблеме CA на Android и спросить их, что они рекомендуют в качестве решения. Они, вероятно, точно знают, какие версии Android (и дистрибутивы поставщиков телефонов) уже доверяют своему промежуточному CA, а какие нет. Они, вероятно, могут сказать вам лучше, чем я, что вам нужно сделать, чтобы это исправить. Spiff 7 лет назад 0
Обновление: последние мобильные версии Safari \ Chrome и IE (на Windows Phone) могут получить полную цепочку. Браузер Android по умолчанию и Firefox на Android - невозможно. Sergey 7 лет назад 0

Похожие вопросы