क्या यह एसएसएल प्रमाणपत्र श्रृंखला टूटी हुई है और इसे कैसे ठीक किया जाए?

डोमेन example.com पर SSL सर्टिफिकेट के लिए, कुछ परीक्षण मुझे बताते हैं कि श्रृंखला अधूरी है और चूंकि फ़ायरफ़ॉक्स अपना प्रमाणपत्र स्टोर रखता है, इसलिए यह मोज़िला ( 1 , 2 , 3 ) पर विफल हो सकता है । अन्य मुझे बताते हैं कि यह ठीक है , जैसा कि फ़ायरफ़ॉक्स 36, जो मुझे बताता है कि प्रमाणित श्रृंखला ठीक है।

अद्यतन: मैंने विंडोज एक्सपी और मैकओएस एक्स स्नो लेपर्ड दोनों पर ओपेरा, सफारी, क्रोम और आईई का परीक्षण किया, वे सभी ठीक काम करते हैं। यह केवल दोनों ओएस पर फ़ायरफ़ॉक्स <36 पर विफल रहता है। मेरे पास लिनक्स पर परीक्षण करने की पहुंच नहीं है, लेकिन इस वेबसाइट के लिए यह 1% से भी कम आगंतुकों है, और अधिकांश संभवतः बॉट हैं। तो, यह मूल सवालों के जवाब देता है "क्या यह सेटअप मोज़िला फ़ायरफ़ॉक्स में चेतावनी लाता है या नहीं" और "क्या यह एसएसएल प्रमाणपत्र टूट गया है या नहीं?"।

इसलिए, सवाल यह है कि मुझे यह कैसे पता चलेगा कि मुझे ssl.ca फ़ाइल में कौन से सेर्ट्स लगाने की आवश्यकता है, ताकि उन्हें अपाचे द्वारा फ़ायरफ़ॉक्स <36 को चोक करने से बचाया जा सके?

पुनश्च: एक साइड नोट के रूप में, फ़ायरफ़ॉक्स 36 मैं प्रमाण पत्र का परीक्षण करने के लिए इस्तेमाल किया गया एक बिल्कुल नया स्थापित था। ऐसा कोई मौका नहीं है जिससे यह शिकायत न हुई हो क्योंकि इसने पिछली श्रृंखला के दौरान एक मध्यवर्ती प्रमाण पत्र डाउनलोड किया था जो उसी श्रृंखला का उपयोग करता है ।

यदि श्रृंखला पर्याप्त है तो ग्राहक के सीए स्टोर पर निर्भर करता है। ऐसा लगता है कि फ़ायरफ़ॉक्स और Google क्रोम ने 2014 के "COMODO RSA प्रमाणन प्राधिकरण" के लिए प्रमाण पत्र को शामिल किया है। इंटरनेट एक्सप्लोरर के लिए यह संभवतः अंतर्निहित ओएस पर निर्भर करता है। गैर-ब्राउज़र, यानी क्रॉलर, मोबाइल एप्लिकेशन आदि द्वारा उपयोग किए जाने वाले ट्रस्ट स्टोर में सीए को अभी तक शामिल नहीं किया जा सकता है।

किसी भी मामले में श्रृंखला पूरी तरह से सही नहीं है, जैसा कि SSLLabs रिपोर्ट से देखा जा सकता है :

• एक ट्रस्ट पथ की आवश्यकता है कि नया CA ब्राउज़र द्वारा विश्वसनीय है। इस स्थिति में आप अभी भी नए CA को शिप करते हैं जो गलत है, क्योंकि विश्वसनीय CA को अंतर्निहित होना चाहिए और चेन में निहित नहीं होना चाहिए।
• अन्य ट्रस्ट पथ अधूरा है, अर्थात इसे एक अतिरिक्त डाउनलोड की आवश्यकता है। Google क्रोम जैसे कुछ ब्राउज़र इस डाउनलोड को करते हैं, जबकि अन्य ब्राउज़र और गैर-ब्राउज़र सभी आवश्यक प्रमाणपत्रों को भेज दी गई श्रृंखला के अंदर समाहित होने की उम्मीद करते हैं। इस प्रकार अधिकांश ब्राउज़र और एप्लिकेशन जिनके पास नया सीए बिल्ट-इन नहीं है, इस साइट के साथ विफल हो जाएंगे।

मैंने कोमोडो से संपर्क किया और उनसे एक बंडल.आर्ट फ़ाइल डाउनलोड की। मैंने इस सर्वर के सेटअप के अनुसार इसका नाम बदलकर ssl.ca कर दिया और अब यह सर्टिफिकेट सभी परीक्षणों को पास कर देता है। Chain issues = Contains anchorनोटिस एक समस्या नहीं है (नीचे देखें)।

एसएसएल लैब्स को व्यापक रूप से सबसे पूर्ण परीक्षण माना जाता है, अब दिखाता है Chain issues = Contains anchor, जबकि पहले यह दिखावा करता था Chain issues = None(जबकि अन्य ने श्रृंखला के साथ एक समस्या दिखाई)। यह वास्तव में एक गैर-मुद्दा ( 1 , 2 ) है, एक अतिरिक्त 1kB से सर्वर क्लाइंट को भेजता है।

मेरा निष्कर्ष

1. SSL लैब्स परीक्षण को अनदेखा करें जहां यह कहता है Chain issues = Contains anchorया बंडल फ़ाइल से रूट सर्टिफिकेट हटा दें (नीचे यह टिप्पणी देखें)।

2. एसएसएल के कहने पर अपनी श्रृंखला को सुनिश्चित करने के लिए हमेशा अन्य तीन परीक्षण साइटों ( 1 , 2 , 3 ) में से कम से कम एक पर माध्यमिक परीक्षण चलाएं ।Chain issues = None