Faça com que o certificado SSL funcione de forma idêntica no navegador para computadores e dispositivos móveis

0

Ao navegar no meu site protegido por SSL via desktop \ laptop, a cadeia de certificados é OK e confiável

Navegador de desktop Certificado

Eu verifiquei aqui e descobri que a cadeia de certificados está incompleta (certificado intermediário adicional é necessário). Verificação de SSL

No entanto, parece que os navegadores desktop \ laptop podem restaurar a cadeia e baixar os certificados necessários.

Mas ao mudar para navegadores móveis (especialmente Android), há os seguintes erros:

Firefox móvel

Celular Android

Observe que no iOS (iPhone \ iPad) não há avisos de segurança e o site é exibido como "verde" com o ícone de bloqueio de teclas.

navegador do iPad

Qual é a maneira correta de atenuar os avisos do navegador móvel? Talvez re-emita o certificado?

Sergey
fonte

Respostas:

0

Se eu assumir o trabalho de investigação que você já fez pelo valor de face, parece que seus dispositivos Android ainda não confiam na CA intermediária que emitiu o certificado de servidor em questão, e não querem apenas fazer o download e começar a confiar certificado CA intermediário.

Parece que você tem duas opções:

  1. Pré-instale esse certificado CA intermediário e marque-o como confiável em todos os seus dispositivos Android.
  2. Compre um certificado de servidor diferente emitido por uma CA em que todos os seus dispositivos já confiam.

Suponho que é possível que esses dispositivos Android aceitem o certificado de CA intermediário se ele foi oferecido como parte da cadeia de certificados que o servidor da Web envia no início da negociação de TLS. Você pode querer certificar-se de que seu servidor da Web tenha uma cópia do certificado de CA intermediário instalado e que esteja oferecendo isso como parte da negociação de TLS.

Spiff
fonte
Espero que você entenda a impossibilidade de pré-instalar certificado intermediário em todos os dispositivos de usuários finais, especialmente quando estamos planejando ir ao vivo :) No entanto, talvez você possa informar o que exatamente devo dizer à CA como thawte para que eles emitam um novo certificado sem certificado intermediário (ou com certificado intermediário confiável global), pois desconheço o caminho correto?
Sergey
@Sergey Haha, sim. Eu não tinha certeza se este era um site público. Já vi pessoas comprarem certidões públicas para sites internos, portanto, era possível que a implantação de um novo certificado em todos os dispositivos móveis da empresa fosse uma solução. Eu acho que você deveria dizer a Thawte sobre seu problema de CA intermediário no Android e perguntar o que eles recomendam como uma solução. Eles provavelmente sabem exatamente quais versões do Android (e distribuições do fornecedor do telefone) já confiam em sua AC intermediária e quais não. Eles provavelmente podem dizer melhor do que eu o que você precisa fazer para corrigir isso.
Spiff
Atualização: as versões móveis mais recentes do Safari \ Chrome e do IE (no Windows Phone) são capazes de recuperar a cadeia completa. Navegador Android padrão e Firefox no Android - não é possível.
Sergey