-1

У нас есть веб-сайт, который работает как по http(80), так и по https (443).

Мы приобрели сертификат SSL и установили. Это хорошо работает для веб-сайтов, работающих только по https.

Если мы обращаемся к веб-сайту, который работает с http и https, используя правильный сертификат, мы получаем сообщение об ошибке предупреждения SSL-сертификата.

В чем причина этой ошибки? Как это решить?

Детали сертификата

Сертификат Wild Card: * .example.com
Также сертификат применим для: example.com

Нет предупреждения об ошибке для
foo.example.com - который работает только по https
abc.example.com - который работает как на http, так и на https. Это показывает предупреждающее сообщение.

Эта ошибка возникает в браузере Chrome. Я проверил это в операционной системе Android.

2 ответа2

0

TL; DR: вам может потребоваться установить некоторые промежуточные сертификаты, чтобы Android мог проверить, действителен ли сертификат сайта (по сути, это подслучае пункта 3 в моем первоначальном ответе).


NET::ERR CERT Авторитет недействителен

На более поздних версиях Android в этом диалоговом окне есть кнопка с надписью "Дополнительно".

Это дает вам

Сервер не может доказать, что это www.redacted.ac.in, его сертификат безопасности не является доверенным для операционной системы вашего устройства. Это может быть вызвано неправильной конфигурацией или злоумышленником, перехватывающим ваше общение.

Так что либо

  • Что-то не так с сертификатом (возможно, ненадежный центр сертификации)
  • В пути подключения есть устройство, которое заменяет сертификат (иногда это происходит с прозрачным прокси в инфраструктуре организации).

Comodo RSA

Ваш сертификат выдан Commodo RSA

Смотрите поддержку Commodo

Проблема в том, что сервер Windows не представляет полную цепочку сертификатов; клиенты, которые не имеют полной цепочки сертификатов, приведут к этой ошибке, встречающейся на телефоне Android. Чтобы решить эту проблему, на сервере, на котором установлен этот сертификат, откройте MMC (Microsoft Management Console) и добавьте оснастку сертификата для учетной записи компьютера на локальном компьютере.

В папке «Промежуточные центры сертификации» проверьте, установлены ли в этом хранилище сертификатов ЦС безопасного сервера проверки домена RSA Comodo и Центр сертификации RSA Comodo (выданный Центру сертификации RSA Comodo, выданный корневым каталогом CA AddTrustExternal).

В папке «Доверенные корневые центры сертификации» проверьте, установлен ли корневой каталог AddTrustExternal CA. Кроме того, если вы видите, что присутствует Сертификационный центр Comodo RSA (выданный и выданный Сертификационным центром Comodo RSA с датой истечения срока действия 18 января 2038 года), если это так, удалите этот сертификат.

Если какой-либо из этих сертификатов отсутствует, промежуточный и корневой сертификаты были предоставлены вам в файле .zip при выдаче сертификата или доступны через эту статью поддержки - https://support.comodo.com/index.php?/ По умолчанию / База знаний / Статья / Представление / 979/108 / domain-validation-sha-2 .

Если вам пришлось удалить центр сертификации Comodo RSA из папки «Доверенные корневые органы», вам также необходимо отключить автоматические обновления корневых сертификатов на сервере - https://support.comodo.com/index.php?/Default/Knowledgebase/. Статья / View / 769/17 / выключения полуавтоматические-корневые сертификаты-обновления-сервер-2008

Если вы выполнили эти шаги, и цепочка сертификатов не обновилась на сервере, чтобы заставить IIS обновить цепочку сертификатов, вам потребуется либо изменить привязку сертификата в IIS на другой сертификат, а затем переключить привязки сертификата на правильный сертификат. , Кроме того, вам нужно будет перезагрузить сервер.


Смешанный контент

Если мы обращаемся к веб-сайту, который работает с http и https, используя правильный сертификат, мы получаем сообщение об ошибке предупреждения SSL-сертификата.

Браузерам не очень нравятся сайты, которые смешивают HTTPS и HTTP-контент.

Например, если HTML обслуживается по протоколу HTTPS, а некоторые изображения, сценарии или CSS обслуживаются по протоколу HTTP, браузер не может использовать обычный зеленый замок, чтобы сообщить пользователю, что веб-сайт защищен. Это частично уязвимо.

Увидеть


Другие распространенные ошибки сертификата

Это хорошо работает для веб-сайтов, работающих только на http.

Нет, это не так. Для HTTP браузер вообще не смотрит на сертификат.

мы получаем сообщение об ошибке предупреждения сертификата SSL.

Точное фактическое предупреждающее сообщение скажет вам, что не так с сертификатом. Некоторые общие проблемы включают в себя:

  • срок его действия истек
  • это для домена, отличного от веб-сайта.
  • издатель сертификата (CA) не пользуется доверием вашего браузера.

Решения соответственно

  • обновить его
  • получить сертификат для правильного домена
  • купить сертификат из другого центра сертификации

0

Скорее всего, вам не хватает промежуточных сертификатов или URL, который вы собираетесь использовать, не соответствует общему имени сертификата.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .