SSL प्रमाणपत्र केवल कुछ ग्राहकों के लिए कैसे काम कर सकता है?

11

मेरे होस्टिंग प्रदाता ने हाल ही में मेरे डोमेन के लिए एक एसएसएल प्रमाणपत्र फिर से जारी किया है और फिर से स्थापित किया है , क्योंकि उन्होंने पुराने को गलती से समाप्त कर दिया है।

अब मैं फिर से HTTPS पर वेबसाइट ब्राउज़ करने में सक्षम हूं , और इसलिए यह मेरा होस्ट है, और इसलिए कई अन्य उपयोगकर्ता हैं।

हालांकि, कुछ उपयोगकर्ता (सैकड़ों में से कम से कम एक दर्जन) अभी भी Your connection is not secureविभिन्न ब्राउज़रों और प्लेटफार्मों पर त्रुटि संदेश प्राप्त कर रहे हैं । (यह एक समस्या का निदान करना मुश्किल साबित कर रहा हूं जिसे मैं पुन: पेश नहीं कर सकता।)

मैं समझता हूं कि विभिन्न ब्राउज़र प्रमाणन प्राधिकरणों (CA.) की विभिन्न सूचियों का उपयोग करते हैं

  1. मैं फ़ायरफ़ॉक्स के एक ही संस्करण को चलाने वाले उपयोगकर्ता के रूप में कैसे आ रहा हूं क्योंकि मैं (ओएस एक्स पर 45.0.1) SEC_ERROR_UNKNOWN_ISSUERकेवल एक त्रुटि प्राप्त कर रहा हूं (मेरी साइट के लिए) जबकि मैं नहीं हूं? क्या यह संभव बनाता है? कहा उपयोगकर्ता ने अपने कैश को साफ किया और अपने लैपटॉप को रिबूट किया।

मैंने digicert.com पर एक एसएसएल चेक चलाया । परिणाम यह है:

एसएसएल सर्टिफिकेट पर भरोसा नहीं है

प्रमाण पत्र पर एक विश्वसनीय प्राधिकारी (मोज़िला के रूट स्टोर के खिलाफ जाँच) द्वारा हस्ताक्षरित नहीं किया गया है। यदि आपने एक विश्वसनीय प्राधिकारी से प्रमाण पत्र खरीदा है, तो आपको संभवतः एक या एक से अधिक मध्यवर्ती प्रमाण पत्र स्थापित करने की आवश्यकता है। अपने सर्वर प्लेटफ़ॉर्म के लिए ऐसा करने के लिए अपने प्रमाणपत्र प्रदाता से संपर्क करें।

  1. यदि यह मामला है तो मैं एसएसएल त्रुटि के बिना साइट से कैसे जुड़ सकता हूं?
ssl  ssl-certificate 
फेबियन सन्नुवर्ट
स्रोत
1
My hosting provider has recently re-issued and re-installed an SSL certificate for my domain, after they let the old one expire by mistake.- यह कैसे हुआ कि आपने यह जिम्मेदारी उनके हाथों में छोड़ दी है?
जोकेवेटी
3
केवल इसलिए कि मैं कोई पापी नहीं हूं, मैं उनसे एक समर्पित समर्पित सर्वर किराए पर लेता हूं। (छोटी पृष्ठभूमि की कहानी के लिए, मैं व्यवसाय सीखने के लिए भाषा-शिक्षण सामग्री और कोड लिखता हूं, इसलिए दिलचस्प काम करना भी बहुत दिलचस्प होगा।)
फबिएन स्नूवर्ट
7
@joeqwerty: क्योंकि यह उनका काम है? वह सचमुच उनके लिए इस सामान को छाँटने के लिए भुगतान कर रहा है।
in पर ऑर्बिट
@LightnessRacesinOrbit: यह एक धारणा है, जिससे मैंने सवाल नहीं किया।
जोवेवर्टी
1
Bugzilla.mozilla.org/show_bug.cgi?id=399324 फ़ायरफ़ॉक्स में स्वचालित रूप से मध्यवर्ती प्रमाणपत्र डाउनलोड करने के लिए समर्थन का अनुरोध करने वाली बग रिपोर्ट है। चर्चा (अब 8 साल लंबे) "आईई करता है!" / "IE के साथ नरक करने के लिए, RFC का कहना है कि यह वैकल्पिक है!" / "कभी मजबूती के सिद्धांत के बारे में सुना है?" / "आपका सर्वर कॉन्फ़िगरेशन खराब है और आपको बुरा महसूस करना चाहिए !"

जवाबों:

22

आपके प्रमाणपत्र की प्रमाणपत्र श्रृंखला अधूरी है। सबसे अधिक संभावना है कि नया प्रमाणपत्र स्थापित करते समय आपका प्रदाता कुछ मध्यवर्ती प्रमाणपत्र स्थापित करने में विफल रहा।

अधिकांश बार ऐसे मध्यवर्ती प्रमाणपत्र एसएसएल प्राधिकरण द्वारा प्रदान किए जाते हैं, कुछ पुराने ब्राउज़रों और ऑपरेटिंग सिस्टम के लिए समर्थन प्रदान करने के लिए। यही कारण है कि, जबकि यह आपके लिए काम करता है, यह आपके कुछ ग्राहकों के लिए काम नहीं करता है।

अपनी वेबसाइट के साथ एसएसएल मुद्दों की जांच करने के लिए वास्तव में एक महान उपयोगिता है एसएसएलबीएएस द्वारा एसएसएल सर्वर परीक्षण । जैसा कि आप ऊपर दिए गए लिंक में देख सकते हैं, न केवल आप यहां एक चेन इशू कर रहे हैं, बल्कि आपके सर्टिफिकेट को बनाने के लिए उपयोग किए जाने वाले सिग्नेचर एल्गोरिदम भी एक कमजोर है, आपका वेबसर्वर अभी भी POODLE अटैक के लिए अचूक है और अभी भी RC4 को सपोर्ट करता है, जो भी असुरक्षित माना जाता है ...

मैं आपके वेबसर्वर प्रदाता के खिलाफ कुछ भी कहना नहीं चाहता, लेकिन आपकी स्थिति में मैं उन्हें मेल करूंगा, कि वे ASAP के इन सभी मुद्दों को ठीक करें, या किसी अन्य प्रदाता को बदलें ...

s1lv3r
स्रोत
धन्यवाद, यह बहुत उपयोगी है। सरासर जिज्ञासा से बाहर, किसी भी विचार क्यों ओएस एक्स पर एक ग्राहक और फ़ायरफ़ॉक्स के एक ही संस्करण के रूप में मेरा एक SEC_ERROR_UNKNOWN_ISSUERत्रुटि हो रही है, जबकि मैं नहीं हूं? क्या यह उसका OS संस्करण अलग हो सकता है?
फाबिएन स्नूवर्ट
1
@FabienSnauwaert हाँ, यदि आप "हैंडशेक सिमुलेशन" तक स्क्रॉल करते हैं, तो SSLLabs परीक्षण विभिन्न OS / ब्राउज़र संस्करण संयोजनों को अनुकरण करने का प्रयास करेगा। ब्राउज़र एसएसएल कनेक्शन को पूरी तरह से अपने आप नहीं संभालता है, लेकिन आंशिक रूप से ओएस के कार्यान्वयन पर निर्भर करता है। तो निश्चित रूप से ओएस संस्करण में फर्क पड़ता है।
s1lv3r
3
ऐसा नहीं है कि ग्राहकों के पास सीए की अलग-अलग सूची हो सकती है। यह भी संभव है कि कुछ ग्राहक मध्यवर्ती प्रमाणपत्रों को कैश करते हैं जैसे कि एक लापता मध्यवर्ती प्रमाणपत्र वाली साइट काम कर सकती है यदि ब्राउज़र ने पहले उस साइट का दौरा किया है जिसने उस मध्यवर्ती प्रमाणपत्र को सही ढंग से कॉन्फ़िगर किया है।
कास्परड
SSLlabs साइट एक अच्छा उपकरण है। संदर्भ के लिए धन्यवाद।
परपलूई
12

किसी प्रमाण पत्र पर भरोसा करने के लिए, उसे एक ऐसी संस्था द्वारा हस्ताक्षरित किया जाना चाहिए जो स्वयं आपके ब्राउज़र / ओएस के संयोजन से विश्वसनीय हो, या ऐसी इकाई द्वारा हस्ताक्षरित हो। यह आमतौर पर एक विश्वसनीय रूट सीए द्वारा किया जाता है जो एक मध्यवर्ती सीए पर हस्ताक्षर करता है, और मध्यवर्ती सीए आपके प्रमाण पत्र पर हस्ताक्षर करता है। यह एक श्रृंखला बनाता है, जैसे:

  1. रूट CA जो आपके कंप्यूटर और संकेतों द्वारा विश्वसनीय है
  2. इंटरमीडिएट सीए, जो संकेत करता है
  3. आपका प्रमाण पत्र, जो केवल मूल सीए पर वापस जाने वाली श्रृंखला के कारण विश्वसनीय है।

यहां समस्या मध्यवर्ती सीए प्रमाण पत्र के साथ है। यह सुनिश्चित करने के लिए कि हर कोई श्रृंखला को सभी प्रकार से रूट CA पर वापस मान्य कर सकता है, आपके प्रदाता को अपने सर्वर कॉन्फ़िगरेशन में मध्यवर्ती प्रमाणपत्र शामिल करना चाहिए। इस मामले में, उन्होंने ऐसा नहीं किया।

कुछ उपयोगकर्ताओं के लिए काम करने का कारण यह है कि उनके पास अपने "ट्रस्ट स्टोर" में मध्यवर्ती प्रमाण पत्र है। उन मामलों में, वे आपके प्रमाण पत्र को स्वीकार करेंगे क्योंकि वे पहले से ही मध्यवर्ती पर भरोसा करते हैं। लेकिन उस मामले में जहां आपके आगंतुकों के पास एक अलग ओएस / ब्राउज़र है, उनके पास मध्यवर्ती प्रमाण पत्र नहीं है, इसलिए उन्हें आपके वेबसर्वर से इसे प्राप्त करने की आवश्यकता होगी - और आपका वेबसर्वर इसे बाहर नहीं सौंपता है, इसलिए उनके पास कोई रास्ता नहीं है इसे सत्यापित कर रहा है।

जेनी डी
स्रोत
धन्यवाद, यह मुझे इस मुद्दे को स्पष्ट रूप से देखने में मदद करता है। क्या प्रमाण पत्र को ठीक करने के लिए मेरे होस्ट की प्रतीक्षा करते समय उपयोगकर्ताओं को अपने स्वयं के "ट्रस्ट स्टोर" में मध्यवर्ती प्रमाणपत्र जोड़ने के लिए कोई चाल है? उदाहरण: एक और एसएसएल साइट पर जाना जो इस पर निर्भर करता है?
फाबिएन स्नूवर्ट
1
@FabienSnauwaert दुर्भाग्य से कोई चाल नहीं है। बस एक साइट पर जाकर एक ही मध्यवर्ती प्रमाण पत्र रखने से मदद नहीं मिलेगी; उन्हें वास्तव में प्रमाण पत्र डाउनलोड करने और मैन्युअल रूप से अपने ब्राउज़र में जोड़ने की आवश्यकता होगी। मेरा मानना ​​है कि यह विशेष प्रमाणपत्र नए ब्राउज़रों में शामिल है - यह फ़ायरफ़ॉक्स 45.0.1 में काम करता है, लेकिन 43.0.4 में नहीं, इसलिए यह उन दो संस्करणों के बीच कहीं शामिल था। इसलिए यदि आप अपने ग्राहकों को अपने ब्राउज़र को अपग्रेड करने के लिए प्राप्त कर सकते हैं, तो इससे मदद मिलेगी।
जेनी डी
4
@ जेनीडी इंटरमीडिएट प्रमाणपत्र आधुनिक ब्राउज़रों द्वारा कैश किए गए हैं, इसलिए एक ही मध्यवर्ती का उपयोग करने वाले एक अलग साइट पर जाकर काम करने की काफी संभावना है। हालाँकि, यह वास्तव में ऐसा कुछ नहीं है जो उनके उपयोगकर्ताओं से पूछना चाहिए ... (देखें: Bugzilla.mozilla.org/show_bug.cgi?id=629558 , sslmate.com/blog/post/chrome_cached_sha1_chains )
बॉब
0

यदि आप HTTP सार्वजनिक कुंजी पिनिंग का उपयोग कर रहे हैं और आपके प्रदाता ने आपको एक नया प्रमाणपत्र दिया है, तो सार्वजनिक कुंजी पहले से ही बदल सकती है। ये कुंजियाँ आपके द्वारा निर्दिष्ट अवधि के लिए क्लाइंट के ब्राउज़र में सहेजी जाती हैं।

जार्विस
स्रोत
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.