我们最近更新了 Nginx 网络服务器的 Thawte SSL 证书。以前我们一直使用 SHA1 作为签名算法,但这次使用了 SHA256,这导致了一个新的根证书,称为“thawte Primary Root CA - G3”(这可以在他们的网站上找到 - 没有足够的代表发布链接)。
自从推出以来,我们开始接到使用 OS X 的客户的电话,询问在浏览 https 页面时收到错误“此证书由未知机构签名”。
Thawte 的证书检查器对我们安装的证书链非常满意:https : //ssltools.thawte.com/checker/views/certCheck.jsp (我们有我们的证书,以及 pem 文件中的“thawte Extended Validation SHA256 SSL CA”中间件)
经过测试,我们发现在OS X os所有版本的Safari、Opera和Chrome下都会出现错误。Firefox 在 OS X 下还可以(我相信它带有自己的证书信任库)。所有浏览器在 Windows 下似乎都可以。
当我们检查 OS X Access Keychain 时,我们发现 thawte Primary Root CA - G3 WAS 已安装,但不知何故浏览器无法完成链。
这是一个使用相同中间体和根的测试站点(不是我们的),它在 OS X 下表现出完全相同的症状:
任何人都可以解释为什么 OS X 默认安装在 OS X 10.9 的访问钥匙串中时,为什么不能将此站点的根 CA 识别为受信任的?