SSL-Zertifikat: falsche Bestellung

1

Ich habe ein SSL EV Zertifikat für https://goout.cz . Nach diesem Test erhalten wir A +:

https://www.ssllabs.com/ssltest/analyze.html?viaform=on&d=goout.cz

Ich erhalte jedoch die Warnung "Falsche Reihenfolge, enthält Anker".

Aber dieser Test: https://cryptoreport.websecurity.symantec.com/checker/views/certCheck.jsp

Sagt: Zertifikat nicht korrekt installiert.

Bisher kann ich das Problem nicht finden. Ich dachte, ich hätte das Hauptzertifikat und das Zwischenzertifikat möglicherweise falsch verkettet, aber ich habe überprüft, dass das Hauptzertifikat zuerst und dann die Zwischenzertifikate folgen.

Vielen Dank.

Vojtěch
quelle

Antworten:

3

Ihre Datei sollte enthalten

  1. Ihr Zertifikat
  2. Das Zwischenzertifikat, das Ihr Zertifikat signiert hat
  3. Alle anderen Zwischenbescheinigungen in der Reihenfolge

Ihre Datei sollte NICHT das Stammzertifikat enthalten.

Mit anderen Worten:

  • Das Thema von Cert 0 sollten Sie sein
  • Der Aussteller des Zertifikats 0 sollte dem Thema des Zertifikats 1 entsprechen
  • Der Aussteller von Cert 1 sollte dem Thema von Cert 2 entsprechen
  • ...
  • Der Emittent des Zertifikats sollte dem Thema des Roots entsprechen
  • Der Aussteller des Roots sollte per Definition seinem Betreff entsprechen (ansonsten handelt es sich nicht um ein Root-Zertifikat).

Verwenden Sie Linux mit openssl? Wenn ja, kann ich ein Skript zur Verfügung stellen, um dies zu überprüfen.

Ich habe gerade eine Verbindung zu Ihrer Website hergestellt

$ openssl s_client -showcerts -connect goout.cz:443 2> /dev/null | grep ' [0-9 ] [is]:'
 0 s:/serialNumber=01901613/jurisdictionC=CZ/jurisdictionST=Prague/jurisdictionL=Prague 3/businessCategory=Private Organization/C=CZ/postalCode=130 00/ST=Prague/L=Prague 3/street=Husinecka 792/25/O=GoOut s.r.o./OU=Technical/OU=COMODO EV SSL/CN=goout.cz
   i:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Extended Validation Secure Server CA
 1 s:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root
   i:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root
 2 s:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Certification Authority
   i:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root
 3 s:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Extended Validation Secure Server CA
   i:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Certification Authority
^C

Es scheint, dass Sie eine Datei mit vier Zertifikaten haben. Um eine perfekte Punktzahl zu erzielen, sollten Sie die zweite entfernen und die letzten beiden austauschen.

Law29
quelle
Danke für die Erklärung, das macht Sinn! Wissen Sie, warum sie das zweite Zertifikat (das ich auf Ihren Vorschlag entfernt habe) in den Satz von Zwischenzertifikaten einfügen, obwohl es nicht dort sein sollte? Wie auch immer, der Cryptoreport ist jetzt korrekt, aber ssllabs sagt immer noch eine falsche Reihenfolge: /
Vojtěch
Ich denke, es war nur ein Cache-Problem; Ich habe gerade den ssllabs-Test auf Ihrer Website durchgeführt und nichts ist "falsch", Sie haben eine Note von A + :) Was das Stammzertifikat in den Zwischenprodukten betrifft. . . keine Ahnung!
Law29