Cette chaîne de certificats SSL est-elle cassée et comment y remédier?

Pour le certificat SSL sur le domaine example.com, certains tests m'indiquent que la chaîne est incomplète et puisque Firefox conserve son propre magasin de certificats, il peut échouer sur Mozilla ( 1 , 2 , 3 ). D'autres me disent que c'est bien , tout comme Firefox 36, qui me dit que la chaîne de certificats est bien.

MISE À JOUR: J'ai testé sur Opera, Safari, Chrome et IE sur Windows XP et MacOS X Snow Leopard, ils fonctionnent tous très bien. Il échoue uniquement sur Firefox <36 sur les deux systèmes d'exploitation. Je n'ai pas accès aux tests sous Linux, mais pour ce site c'est moins de 1% des visiteurs, et la plupart sont probablement des bots. Ainsi, cela répond aux questions d'origine "cette configuration affiche-t-elle des avertissements dans Mozilla Firefox ou non" et "Cette chaîne de certificats SSL est-elle cassée ou non?".

Par conséquent, la question est de savoir comment savoir quels certificats dois-je placer dans le fichier ssl.ca afin qu'ils puissent être servis par Apache pour empêcher Firefox <36 de s'étouffer?

PS: En remarque, le Firefox 36 que j'ai utilisé pour tester le certificat était une toute nouvelle installation. Il n'y a aucune chance qu'il ne se soit pas plaint car il avait téléchargé un certificat intermédiaire lors d'une précédente visite sur un site utilisant la même chaîne .

Si la chaîne est suffisante, cela dépend du magasin CA du client. Il semble que Firefox et Google Chrome aient inclus le certificat pour "COMODO RSA Certification Authority" fin 2014. Pour Internet Explorer, cela dépend probablement du système d'exploitation sous-jacent. L'autorité de certification n'est peut-être pas encore incluse dans les magasins de confiance utilisés par les non-navigateurs, c'est-à-dire les robots d'exploration, les applications mobiles, etc.

Dans tous les cas, la chaîne n'est pas entièrement correcte, comme le montre le rapport SSLLabs :

• Un chemin d'approbation nécessite que la nouvelle autorité de certification soit approuvée par le navigateur. Dans ce cas, vous expédiez toujours la nouvelle autorité de certification, ce qui est faux, car les autorités de certification de confiance doivent être intégrées et non contenues dans la chaîne.
• L'autre chemin de confiance est incomplet, c'est-à-dire qu'il a besoin d'un téléchargement supplémentaire. Certains navigateurs comme Google Chrome effectuent ce téléchargement, tandis que d'autres navigateurs et non-navigateurs s'attendent à ce que tous les certificats nécessaires soient contenus dans la chaîne expédiée. Ainsi, la plupart des navigateurs et applications qui ne disposent pas de la nouvelle autorité de certification intégrée échoueront avec ce site.

J'ai contacté Comodo et téléchargé un fichier bundle.crt à partir d'eux. Je l'ai renommé ssl.ca, conformément à la configuration de ce serveur, et maintenant le certificat réussit tous les tests. L' Chain issues = Contains anchoravis n'est pas un problème (voir ci-dessous).

SSL Labs, largement considéré comme le test le plus complet, le montre maintenant Chain issues = Contains anchor, alors Chain issues = Nonequ'il le montrait auparavant (tandis que les autres montraient un problème avec la chaîne). Ce n'est vraiment pas un problème ( 1 , 2 ), à part 1 Ko supplémentaire que le serveur envoie au client.

Ma conclusion

1. Ignorez le test SSL Labs où il est dit Chain issues = Contains anchorOU supprimez le certificat racine du fichier de bundle (voir ce commentaire ci-dessous).

2. Exécutez toujours un test secondaire sur au moins l'un des trois autres sites de test ( 1 , 2 , 3 ) pour vous assurer que votre chaîne est vraiment correcte lorsque SSL Labs le dit Chain issues = None.