私は会社.svドメインを所有しており、最近 RapidSSL ワイルドカード証明書を購入してインストールし、多くのブラウザー (Firefox、Chromium、Chrome、IE) と SSL チェック ツールでテストしたところ、Windows、Linux、Android のいずれでも Google Chrome 以外のすべてのブラウザーで正常に動作しました。
Google Chromeでウェブサイトにアクセスするたびに、アクセスしようとしたという警告が表示されます。www.company.svまたは何でも.会社.svしかし、サーバーは **.company.sv* として自身を識別します。警告を無視して続行し、赤いロックをクリックすると、ネットワーク内でのみ有効であり、外部の認証機関を通じて検証できないサーバーに接続していることが通知されます。
証明書再販業者のサポートサービスに連絡しましたが、何が問題なのかはっきりとした答えは得られませんでした。TLDが.svChromium のソースコードも確認しましたが、証明書は Chromium 上で問題なく動作するため、あまり意味がないようです。
おそらく、私は Ubuntu 12.04 サーバーで NGINX を使用しており、ワイルドカード証明書を購入する前に Comodo から無料の単一ドメイン証明書をテストしたことを言及する価値があるでしょう。
答え1
中間証明書バンドルを Web サーバーにインストールし忘れたようです。証明書ベンダーの Web サイトにアクセスして、中間バンドルをダウンロードしてください。
nginx の場合、これを証明書と連結してディレクティブに配置する必要がありますssl_certificate。例:
# cat company.sv.crt ca_bundle.crt > company.sv.chained.crt
そして、nginx の設定では次のようになります:
ssl_certificate /etc/path/to/company.sv.chained.crt
答え2
おそらく、サブジェクトCN=フィールドにサイト名があるのでしょう。Chromeがそれを受け入れるには、サブジェクト代替名フィールドにサイト名が必要です。ブラウザで証明書を表示するか、openssl x509 -in certificate-file -text
見る:
これらの基本要件では、証明機関が発行する SSL 証明書に少なくとも 1 つのサブジェクト代替名を常に含めることが義務付けられています。つまり、現在、アプリケーションは共通名とサブジェクト代替名の両方を確認する必要はなく、後者のみを確認すればよいことになります。
現在、ほとんどの証明機関は、サブジェクト代替名の最初の DNS 名を共通名フィールドにも含めますが、これは主にレガシー上の理由で行われ、それほど遠くない将来に停止される予定です。
証明書には、バインドされているドメイン/IP を表現する方法が 2 つあります。1 つは構造化されておらずあいまいな方法 (commonName)、もう 1 つは明確に定義されている方法 (subjectAltName) です。subjectAltName がない場合、Chrome は現在、ドメインを commonName (存在する場合) と比較する方法にフォールバックします。
この提案は、フォールバック パスを削除するもので、実質的に subjectAltName を必要とします。理想的には、これをすべての証明書 (公的に信頼されている証明書と私的に信頼されている証明書) に対して実行しますが、互換性リスクに関する懸念がある場合は、公的に信頼されている証明書に制限することができます。