Pourquoi Android Chrome dit-il que le certificat de sécurité de mon site n'est pas approuvé?


14

Mon site est https://blendbee.com . Il utilise un certificat PositiveSSL qui est valide.

Dans Windows 8 Chrome, le certificat est correct (verrou vert dans le coin supérieur gauche).

Mais ... sur mon Android, ce n'est pas si bien. Capture d'écran: http://postimg.org/image/6vc64lr1d/

Des idées pourquoi?

Le serveur exécute Ubuntu 13.10 sur Digital Ocean.


IIRC, certains certificats Comodo ne sont pas approuvés dans les anciennes versions d'Android (2.x).
ceejayoz

1
Reproduit sur KitKat 4.4.4. Ce n'est donc pas le cas de l' ancien Android.
Michael Hampton

2
Oui, c'était sur mon Samsung Galaxy S5
Kane

Réponses:


16

Vous devez fournir l'intégralité de la chaîne de certificats pour qu'elle s'affiche comme approuvée.

Voici le lien que j'ai obtenu pour les instructions de comodo sur l'installation de la chaîne de certificats dans apache: https://support.comodo.com/index.php?/Default/Knowledgebase/Article/View/637/37/certificate-installation-apache-- mod_ssl

Je l'ai obtenu de http://www.sslshopper.com/ssl-checker.html#hostname=blendbee.com , qui a signalé votre certificat comme n'étant pas approuvé dans tous les navigateurs en raison d'une chaîne incomplète.


1
Remarque: si vous obtenez un tas de fichiers .crt mais pas de bundle, vous devrez peut-être créer votre propre fichier de bundle comme je l'ai fait pour mon certificat comodo: support.comodo.com/index.php?/Knowledgebase/Article/View /
643/0

4

Un certificat peut contenir une extension d' accès aux informations d'autorité spéciale ( RFC-3280 ) avec l'URL du certificat de l'émetteur. La plupart des navigateurs peuvent utiliser l'extension AIA pour télécharger le certificat intermédiaire manquant pour compléter la chaîne de certificats. Mais certains clients (navigateurs mobiles, OpenSSL) ne prennent pas en charge cette extension, ils signalent donc ce certificat comme non fiable.

Vous pouvez résoudre manuellement le problème de chaîne de certificats incomplets en concaténant tous les certificats du certificat au certificat racine de confiance (exclusif, dans cet ordre), pour éviter de tels problèmes. Remarque, le certificat racine approuvé ne devrait pas être là, car il est déjà inclus dans le magasin de certificats racine du système.

Vous devriez pouvoir récupérer les certificats intermédiaires de l'émetteur et les concaténer vous-même. J'ai écrit un script pour automatiser la procédure, il boucle sur l'extension AIA pour produire une sortie de certificats correctement chaînés. https://github.com/zakjan/cert-chain-resolver


-1

Ni la racine ni le certificat intermédiaire ne sont approuvés par Chrome, qui, je crois, utilise le jeu d'autorités de certification natif d'Android. Cet ensemble est visible depuis settings->security->Trusted credentials.

Cette question sur ad android.se, pourrait aider davantage.


Le certificat racine. était dans le magasin de confiance, mais pas le certificat intermédiaire. Le cert. la chaîne contenant tous les intermédiaires n'était pas incluse et le client n'escaladait pas la chaîne à l'aide de l'extension Authority Information Access (peut-être parce que les informations n'étaient pas incluses dans le certificat tel que présenté par le serveur) pour voir si la chaîne conduisait à une confiance CALIFORNIE.
Austin
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.