Домен: https://www.amz2btc.com
Анализ из SSL Labs: https://www.ssllabs.com/ssltest/analyze.html?d=amz2btc.com
Все мои настольные браузеры открывают это прекрасно. Мобильный Firefox открывает это прекрасно. Только когда я попытался с мобильным Chrome, я получил ошибку: err_cert_authority_invalid
Я очень мало знаю об SSL, поэтому я не могу понять отчет о SSL или почему эта ошибка подходит. Если бы кто-то мог ELI5, это было бы идеально.:)
Я просто потратил утро на это. Проблема заключалась не в том, что у меня отсутствовал сертификат. Это было то, что у меня было дополнительное.
Я начал с моего ssl.conf, содержащего мой ключ сервера, и три файла, предоставленные моим центром сертификации SSL:
# Server Certificate:
SSLCertificateFile /etc/pki/tls/certs/myserver.cer
# Server Private Key:
SSLCertificateKeyFile /etc/pki/tls/private/myserver.key
# Server Certificate Chain:
SSLCertificateChainFile /etc/pki/tls/certs/AddTrustExternalCARoot.pem
# Certificate Authority (CA):
SSLCACertificateFile /etc/pki/tls/certs/InCommonServerCA.pem
Он отлично работал на настольных компьютерах, но Chrome на Android дал мне err_cert_authority_invalid
Много головных болей, поиска и плохой документации позже, я понял, что это была цепочка сертификатов сервера:
SSLCertificateChainFile /etc/pki/tls/certs/AddTrustExternalCARoot.pem
Это создало цепочку сертификатов second, которая была неполной. Я прокомментировал эту строку, оставив меня с
# Server Certificate:
SSLCertificateFile /etc/pki/tls/certs/myserver.cer
# Server Private Key:
SSLCertificateKeyFile /etc/pki/tls/private/myserver.key
# Certificate Authority (CA):
SSLCACertificateFile /etc/pki/tls/certs/InCommonServerCA.pem
и теперь он снова работает над Android. Это было в Linux с Apache 2.2.
У меня возникла такая же проблема при размещении веб-сайта через Parse и использовании сертификата Comodo SSL, перепроданного NameCheap.
Вы получите два файла сертификата внутри zip-папки: www_yourdomain_com.ca-расслоение www_yourdomain_com.crt
Вы можете загрузить только один файл в Parse: Поле ввода сертификатов SSL-сертификата
В терминале скомбинируйте два файла, используя:
cat www_yourdomain_com.crt www_yourdomain_com.ca-bundle > www_yourdomain_com_combine.crt
Затем загрузите в Parse. Это должно устранить проблему с браузерами Android Chrome и Firefox. Вы можете проверить, что это сработало, протестировав его на https://www.sslchecker.com/sslchecker
Для тех, у кого есть эта проблема на серверах IIS.
Объяснение: иногда сертификаты содержат URL промежуточного сертификата вместо фактического сертификата. Настольные браузеры могут ЗАГРУЗИТЬ отсутствующий промежуточный сертификат, используя этот URL. Но более старые мобильные браузеры не могут этого сделать. Поэтому они бросают это предупреждение.
Вам нужно
1) убедитесь, что все промежуточные сертификаты обслуживаются сервером
2) отключить ненужные пути сертификации в IIS. В разделе "Доверенные корневые центры сертификации" вам необходимо "отключить все цели" для сертификата, запускающего загрузку.
PS. мой коллега написал сообщение в блоге с более подробными шагами: https://www.jitbit.com/maxblog/21-errcertauthorityinvalid-on-android-and-iis/
В отчете от SSLabs говорится:
This server certificate chain is incomplete. Grade capped to B.
....
Chain Issues Incomplete
Настольные браузеры часто имеют сертификаты цепей, кэшированные из предыдущих подключений, или загружают их из URL-адреса, указанного в сертификате. Мобильные браузеры и другие приложения обычно не работают.
Исправьте цепочку, включив недостающие сертификаты, и все должно быть правильно.
Надеюсь, я не слишком поздно, это решение здесь работало для меня, я использую COMODO SSL, вышеупомянутые решения кажутся недействительными с течением времени, мой сайт lifetanstic.co.ke
Вместо того, чтобы связаться с Comodo Support и получить файл пакета CA, вы можете сделать следующее:
Когда вы получаете новый сертификат SSL от Comodo (по почте), у них есть ZIP файл. Вам нужно распаковать zip файл и открыть следующие файлы в текстовом редакторе, например, в блокноте:
AddTrustExternalCARoot.crt
COMODORSAAddTrustCA.crt
COMODORSADomainValidationSecureServerCA.crt
Затем скопируйте текст каждого файла ".crt" и вставьте тексты выше каждого из них в поле "Пакет сертификатов (необязательно)".
После этого просто добавьте сертификат SSL как обычно в поле "Сертификат" и нажмите кнопку "Автозаполнение по сертификату" и нажмите "Установить".
Вдохновленный этой сутью: https://gist.github.com/ipedrazas/6d6c31144636d586dcc3
У меня также была проблема с цепочкой и удалось решить с помощью этого руководства https://gist.github.com/bradmontgomery/6487319
если вы похожи на меня, который использует AWS и CloudFront, вот как решить проблему. он похож на то, что другие разделили, за исключением того, что вы не используете файл своего домена crt, а именно то, что comodo отправил вам по электронной почте.
cat COMODORSADomainValidationSecureServerCA.crt COMODORSAAddTrustCA.crt AddTrustExternalCARoot.crt > ssl-bundle.crt
это сработало для меня, и мой сайт больше не отображает предупреждение ssl на chrome в android.
Я решил свою проблему с помощью этих команд:
cat __mydomain_com.crt __mydomain_com.ca-bundle > __mydomain_com_combine.crt
и после:
cat __mydomain_com_combine.crt COMODORSADomainValidationSecureServerCA.crt
COMODORSAAddTrustCA.crt AddTrustExternalCARoot.crt > mydomain.pem
И в моем домене nginx.conf я поставил на сервер 443:
ssl_certificate ssl/mydomain.pem;
ssl_certificate_key ssl/mydomain.private.key;
Я не забываю перезапустить свой "Nginx"
service nginx restart
Достойным способом проверить, есть ли проблема в цепочке сертификатов, является использование этого веб-сайта:
https://www.digicert.com/help/
Подключите тестовый URL-адрес, и он скажет вам, что может быть неправильным. У нас была проблема с тем же симптомом, что и у вас, и наша проблема была диагностирована из-за промежуточных сертификатов.
Сертификат SSL не доверен
Сертификат не подписан доверенным органом (проверка Корневой магазин Mozilla). Если вы купили сертификат из доверенного власти, вам, вероятно, просто нужно установить один или несколько промежуточных сертификаты. Обратитесь к поставщику сертификатов за помощью это для вашей серверной платформы.
У меня была та же проблема, но ответ, сделанный Майком A, помог мне разобраться: У меня был мой сертификат, промежуточный сертификат (Gandi), другой промежуточный (UserTrustRSA) и, наконец, сертификат RootCA (AddTrust).
Итак, сначала я создал цепочный файл с Gandi + UserTrustRSA + AddTrust и указал его с помощью SSLCertificateChainFile. Но это не сработало.
Итак, я попробовал ответ MikeA, просто поставив сертификат AddTruct в файл и указав его SSLCACertificateFile и удалив SSLCertificateChainFile. Но это не сработало.
Итак, finnaly я создал файл цепочки только с Gandi + UserTrustRSA, указанный SSLCertificateChainFile, а другой файл с только RootCA, указанным SSLCACertificateFile, и он работал.
# Server Certificate:
SSLCertificateFile /etc/ssl/apache/myserver.cer
# Server Private Key:
SSLCertificateKeyFile /etc/ssl/apache/myserver.key
# Server Certificate Chain:
SSLCertificateChainFile /etc/ssl/apache/Gandi+UserTrustRSA.pem
# Certificate Authority (CA):
SSLCACertificateFile /etc/ssl/apache/AddTrust.pem
Кажется логичным, когда вы читаете, но надеетесь, что это поможет.
Я предполагаю, что вы должны установить сертификат сертификата CA один, если разрешить полномочия:
ssl_trusted_certificate ssl/SSL_CA_Bundle.pem;
Просто выполните следующие действия для версии 44.0.2403.155 dev-m
Конфиденциальность → Настройки содержимого → Запретить запуск любого сайта JavaScript
Решение проблемы