Warum sagt Android Chrome, dass das Sicherheitszertifikat meiner Site nicht vertrauenswürdig ist?

14

Meine Website ist https://blendbee.com . Es wird ein gültiges PositiveSSL-Zertifikat verwendet.

In Windows 8 Chrome ist das Zertifikat in Ordnung (grüne Sperre in der oberen linken Ecke).

Aber ... auf meinem Android ist es nicht so gut. Screenshot: http://postimg.org/image/6vc64lr1d/

Irgendwelche Ideen warum?

Auf dem Server läuft Ubuntu 13.10 bei Digital Ocean.

ubuntu ssl-certificate https android google-chrome Kane
quelle
IIRC, einige Comodo-Zertifikate sind in alten Android (2.x) -Versionen nicht vertrauenswürdig.
Ceejayoz
1
Wiedergabe mit KitKat 4.4.4. Es handelt sich also nicht um ein altes Android.
Michael Hampton
2
Ja, das war auf meinem Samsung Galaxy S5
Kane

Antworten:

16

Sie müssen die gesamte Zertifikatskette bereitstellen, damit sie als vertrauenswürdig angezeigt wird.

Hier ist der Link, den ich für die Anweisungen von comodo zur Installation der Zertifikatskette in Apache erhalten habe: https://support.comodo.com/index.php?/Default/Knowledgebase/Article/View/637/37/certificate-installation-apache-- mod_ssl

Ich habe dies von http://www.sslshopper.com/ssl-checker.html#hostname=blendbee.com erhalten , wodurch Ihr Zertifikat aufgrund einer unvollständigen Kette als nicht in allen Browsern vertrauenswürdig eingestuft wurde.

austinian
quelle
1
Wenn Sie eine Reihe von .crt-Dateien, aber kein Bundle erhalten, müssen Sie möglicherweise Ihre eigene Bundle-Datei erstellen, wie ich es für mein comodo-Zertifikat getan habe: support.comodo.com/index.php?/Knowledgebase/Article/View /
643/0
4

Ein Zertifikat kann eine spezielle Authority Information Access- Erweiterung ( RFC-3280 ) mit einer URL zum Zertifikat des Ausstellers enthalten. Die meisten Browser können die AIA-Erweiterung zum Herunterladen fehlender Zwischenzertifikate verwenden, um die Zertifikatkette zu vervollständigen. Einige Clients (mobile Browser, OpenSSL) unterstützen diese Erweiterung jedoch nicht, sodass sie ein solches Zertifikat als nicht vertrauenswürdig melden.

Sie können das Problem mit der unvollständigen Zertifikatkette manuell lösen, indem Sie alle Zertifikate vom Zertifikat zum vertrauenswürdigen Stammzertifikat verketten (in dieser Reihenfolge exklusiv), um solche Probleme zu vermeiden. Beachten Sie, dass das vertrauenswürdige Stammzertifikat nicht vorhanden sein sollte, da es bereits im Stammzertifikatsspeicher des Systems enthalten ist.

Sie sollten in der Lage sein, Zwischenzertifikate vom Aussteller abzurufen und sie selbst zusammenzufassen. Ich habe ein Skript zur Automatisierung des Vorgangs geschrieben, das die AIA-Erweiterung durchläuft, um die Ausgabe korrekt verketteter Zertifikate zu erstellen. https://github.com/zakjan/cert-chain-resolver

Zakjan
quelle
-1

Weder das Root-Zertifikat noch das Zwischenzertifikat werden von Chrome als vertrauenswürdig eingestuft. Meiner Meinung nach wird hier der native CA-Satz von Android verwendet. Dieses Set kann von angezeigt werden settings->security->Trusted credentials.

Diese Frage über ad android.se könnte weiter helfen.

84104
quelle
Das Root-Zertifikat. war im Truststore, aber nicht das Zwischenzertifikat. Das Zertifikat Die Kette, die alle Zwischenprodukte enthielt, war nicht enthalten, und der Client stieg nicht mit der Erweiterung "Authority Information Access" auf die Kette auf (möglicherweise, weil die Informationen nicht in dem vom Server angegebenen Zertifikat enthalten waren), um festzustellen, ob die Kette zu einer vertrauenswürdigen Verbindung führte CA.
Austin