Por que o Android Chrome diz que o certificado de segurança do meu site não é confiável?

14

Meu site é https://blendbee.com . Está usando um certificado PositiveSSL que é válido.

No Windows 8 Chrome, o certificado está correto (trava verde no canto superior esquerdo).

Mas ... no meu Android, não é tão bom. Captura de tela: http://postimg.org/image/6vc64lr1d/

Alguma idéia do porquê?

O servidor está executando o Ubuntu 13.10 no Digital Ocean.

ubuntu ssl-certificate https android google-chrome Kane
fonte
IIRC, alguns certificados Comodo não são confiáveis ​​nas versões antigas do Android (2.x).
ceejayoz
1
Reproduzido no KitKat 4.4.4. Portanto, não é um caso de Android antigo .
Michael Hampton
2
Sim, isso foi no meu Samsung Galaxy S5
Kane

Respostas:

16

Você precisa fornecer toda a cadeia de certificados para que ela apareça como confiável.

Aqui está o link para obter as instruções da comodo sobre a instalação da cadeia de certificados no apache: https://support.comodo.com/index.php?/Default/Knowledgebase/Article/View/637/37/certificate-installation-apache-- mod_ssl

Eu obtive isso em http://www.sslshopper.com/ssl-checker.html#hostname=blendbee.com , que sinalizou seu certificado como não sendo confiável em todos os navegadores devido a uma cadeia incompleta.

austiniano
fonte
1
Como uma observação, se você receber vários arquivos .crt, mas nenhum pacote, poderá ter que criar seu próprio arquivo de pacote, como eu fiz para o meu certificado de comodo: support.comodo.com/index.php?/Knowledgebase/Article/View /
643/0
4

Um certificado pode conter uma extensão especial de acesso a informações da autoridade ( RFC-3280 ) com URL para o certificado do emissor. A maioria dos navegadores pode usar a extensão AIA para baixar o certificado intermediário ausente e concluir a cadeia de certificados. Porém, alguns clientes (navegadores móveis, OpenSSL) não suportam essa extensão e relatam esse certificado como não confiável.

Você pode resolver o problema incompleto da cadeia de certificados manualmente, concatenando todos os certificados do certificado para o certificado raiz confiável (exclusivo, nesta ordem), para evitar esses problemas. Observe que o certificado raiz confiável não deve estar lá, pois já está incluído no armazenamento de certificados raiz do sistema.

Você deve conseguir certificados intermediários do emissor e concatená-los por si mesmo. Eu escrevi um script para automatizar o procedimento, ele faz um loop na extensão AIA para produzir a saída de certificados encadeados corretamente. https://github.com/zakjan/cert-chain-resolver

zakjan
fonte
-1

Nem a raiz nem o certificado intermediário são confiáveis ​​pelo Chrome, que acredito usar o conjunto de CA nativo do Android. Esse conjunto é visível a partir de settings->security->Trusted credentials.

Esta pergunta sobre o anúncio android.se pode ajudar ainda mais.

84104
fonte
O certificado raiz. estava no armazenamento confiável, mas não no certificado intermediário. O certificado. a cadeia que contém todos os intermediários não foi incluída e o cliente não estava subindo a cadeia usando a extensão Authority Information Access (possivelmente porque as informações não foram incluídas no certificado, conforme apresentado pelo servidor) para verificar se a cadeia levou a uma rede confiável. CA.
austinian 15/09/2016