我网站的 SSL 证书https://www.snipsalonsoftware.com/在 Android 上不起作用。在解决此问题时,我已将我的网站插入 Qualys SSL Labs 测试工具:
https://www.ssllabs.com/ssltest/analyze.html?d=www.snipsalonsoftware.com&s=50.57.181.104
这份报告似乎告诉我,我有“连锁问题”。有些东西是“不完整的”。但我无法准确理解什么是不完整的。
在下一部分中,在“认证路径”下,我看到橙色(我猜橙色的意思是“有点糟糕”)“额外下载”。我不知道这意味着什么或如何解决它。我找到了这个线程,但我不知道如何将他们所说的转化为适合我的解决方案。
我该怎么办?
证书可以包含一个特殊的授权信息访问扩展 ( RFC-3280 ),带有指向颁发者证书的 URL。大多数浏览器可以使用 AIA 扩展下载缺少的中间证书来完成证书链。但是某些客户端(移动浏览器、OpenSSL)不支持此扩展,因此他们将此类证书报告为不受信任。
您可以通过将证书中的所有证书连接到受信任的根证书(独占,按此顺序)来手动解决证书链不完整问题,以防止此类问题。请注意,受信任的根证书不应存在,因为它已包含在系统的根证书存储中。
您应该能够从颁发者那里获取中间证书并自己将它们连接在一起。我编写了一个脚本来自动执行该过程,它遍历 AIA 扩展以生成正确链接的证书的输出。https://github.com/zakjan/cert-chain-resolver
您已将服务器配置为仅将证书发送到浏览器。对于大多数桌面浏览器来说,这很好,因为它们已经包含大量中间和根 CA 的详细信息,因此它们可以轻松构建信任链。对于大多数移动浏览器,您通常需要提供整个证书链,即您自己的证书、颁发 CA 的证书以及该证书和最终根 CA 之间可能存在的任何中间体。只有在这种情况下,移动设备才有可能拥有根 CA 的详细信息。
对于您的特定证书,您可以阅读此 Comodo 帮助台文章:知识库:Comodo 证书颁发机构 > 证书 > SSL > 证书安装
| 归档时间: |
|
| 查看次数: |
27554 次 |
| 最近记录: |