Apakah rantai sertifikat SSL ini rusak dan bagaimana cara memperbaikinya?

Untuk sertifikat SSL di domain example.com, beberapa tes memberi tahu saya bahwa rantai tidak lengkap dan karena Firefox menyimpan toko sertifikatnya sendiri, mungkin gagal di Mozilla ( 1 , 2 , 3 ). Yang lain memberi tahu saya bahwa itu baik-baik saja , seperti halnya Firefox 36, yang memberi tahu saya bahwa rantai sertifikat baik-baik saja.

UPDATE: Saya menguji pada Opera, Safari, Chrome dan IE pada Windows XP dan MacOS X Snow Leopard, semuanya bekerja dengan baik. Itu hanya gagal pada Firefox <36 pada kedua OS. Saya tidak punya akses untuk menguji di Linux, tetapi untuk situs web ini kurang dari 1% pengunjung, dan sebagian besar mungkin bot. Jadi, ini menjawab pertanyaan awal "apakah pengaturan ini memunculkan peringatan di Mozilla Firefox atau tidak" dan "Apakah rantai sertifikat SSL ini rusak atau tidak?".

Oleh karena itu, pertanyaannya adalah bagaimana cara mengetahui sertifikat mana yang harus saya tempatkan di file ssl.ca sehingga dapat dilayani oleh Apache agar Firefox <36 tidak tersedak?

PS: Sebagai catatan, Firefox 36 yang saya gunakan untuk menguji sertifikat adalah instalasi baru. Tidak ada kemungkinan itu tidak mengeluh karena telah mengunduh sertifikat perantara selama kunjungan sebelumnya ke situs yang menggunakan rantai yang sama .

Jika rantai cukup tergantung pada toko CA klien. Sepertinya Firefox dan Google Chrome telah menyertakan sertifikat untuk "COMODO RSA Certification Authority" akhir 2014. Untuk Internet Explorer mungkin tergantung pada OS yang mendasarinya. CA mungkin belum dimasukkan dalam toko kepercayaan yang digunakan oleh non-browser, yaitu crawler, aplikasi seluler, dll.

Bagaimanapun rantai tidak sepenuhnya benar, seperti dapat dilihat dari laporan SSLLabs :

• Satu jalur kepercayaan mengharuskan CA baru dipercaya oleh browser. Dalam hal ini Anda masih mengirim CA baru yang salah, karena CA tepercaya harus built-in dan tidak terkandung dalam rantai.
• Jalur kepercayaan lainnya tidak lengkap, artinya perlu unduhan tambahan. Beberapa browser seperti Google Chrome melakukan unduhan ini, sementara yang lain browser dan non-browser mengharapkan semua sertifikat yang diperlukan terkandung di dalam rantai yang dikirimkan. Dengan demikian sebagian besar browser dan aplikasi yang tidak memiliki CA built-in baru akan gagal dengan situs ini.

Saya menghubungi Comodo dan mengunduh file bundle.crt dari mereka. Saya menamainya menjadi ssl.ca, sesuai pengaturan server ini, dan sekarang cert melewati semua tes. The Chain issues = Contains anchorpemberitahuan tidak masalah (lihat di bawah).

SSL Labs, secara luas dianggap sebagai tes paling lengkap, sekarang menunjukkan Chain issues = Contains anchor, sedangkan sebelumnya digunakan untuk menunjukkan Chain issues = None(sedangkan yang lain menunjukkan masalah dengan rantai). Ini benar-benar bukan masalah ( 1 , 2 ), selain dari tambahan 1kB yang dikirimkan server ke klien.

Kesimpulan saya

1. Abaikan uji Lab SSL yang bertuliskan Chain issues = Contains anchorATAU hapus sertifikat root dari file bundel (lihat komentar di bawah ini).

2. Selalu jalankan pengujian sekunder pada setidaknya satu dari tiga lokasi pengujian lainnya ( 1 , 2 , 3 ) untuk memastikan rantai Anda benar-benar baik ketika SSL Labs mengatakan Chain issues = None.