Das SSL-Zertifikat für meine Website https://www.snipsalonsoftware.com/ funktioniert unter Android nicht. Bei der Behebung dieses Problems habe ich meine Site an das Qualys SSL Labs-Testtool angeschlossen:
https://www.ssllabs.com/ssltest/analyze.html?d=www.snipsalonsoftware.com&s=50.57.181.104
Dieser Bericht scheint mir zu sagen, dass ich "Kettenprobleme" habe. Etwas ist "unvollständig". Aber ich habe Probleme, genau zu verstehen, was unvollständig ist.
Im nächsten Abschnitt sehe ich unter "Zertifizierungspfade" in Orange (und ich vermute, Orange bedeutet "irgendwie schlecht") "Zusätzlicher Download". Ich habe keine Ahnung, was dies bedeutet oder wie ich es beheben kann. Ich habe diesen Thread gefunden , kann aber nicht sagen, wie ich das, was sie sagen, in eine Lösung für mich übersetzen soll.
Was soll ich machen?
Ein Zertifikat kann eine spezielle Authority Information Access- Erweiterung ( RFC-3280 ) mit einer URL zum Zertifikat des Ausstellers enthalten. Die meisten Browser können die AIA-Erweiterung verwenden, um fehlende Zwischenzertifikate herunterzuladen und die Zertifikatkette zu vervollständigen. Einige Clients (mobile Browser, OpenSSL) unterstützen diese Erweiterung jedoch nicht. Daher melden sie ein solches Zertifikat als nicht vertrauenswürdig.
Sie können das Problem der unvollständigen Zertifikatskette manuell lösen, indem Sie alle Zertifikate aus dem Zertifikat mit dem vertrauenswürdigen Stammzertifikat (exklusiv in dieser Reihenfolge) verketten, um solche Probleme zu vermeiden. Beachten Sie, dass das vertrauenswürdige Stammzertifikat nicht vorhanden sein sollte, da es bereits im Stammzertifikatspeicher des Systems enthalten ist.
Sie sollten in der Lage sein, Zwischenzertifikate vom Aussteller abzurufen und selbst zusammenzustellen. Ich habe ein Skript geschrieben, um die Prozedur zu automatisieren. Es durchläuft die AIA-Erweiterung, um die Ausgabe korrekt verketteter Zertifikate zu erzeugen. https://github.com/zakjan/cert-chain-resolver
quelle
Go