サーバー: SNI (Azure 仮想マシン) を使用した Windows 2012 R2 / IIS 8.5
SSL 証明書がインストールされており、Firefox と iOS Safari を除くすべてのブラウザで動作しています。Chrome と IE のチェーンは次のようになります。
Baltimore CyberTrust Root
---->XX Public Root Certification Authority
-------->XX Certification Authority
----------->xxx.domain.com
iOS 上の Firefox および Safari では、サイトが信頼されていないというメッセージが表示され、[例外の追加] で証明書を表示すると、チェーンは次のように表示されます。
XX Certification Authority
----->xxx.domain.com
XX 認証局が xx.domain.com 証明書に署名しました。公開ルート認証局が XX 認証局に署名し、CyberTrust が公開ルート証明書に署名しました。
中間証明書は、サーバーの中間証明機関ストアにあります。何らかの理由で、Firefox は完全な証明書チェーンをダウンロードしません (またはサーバーがそれを送信しません)。Firefox プロファイルで cert8.db を削除しようとしましたが、クリーンなマシンで常に同じ問題が発生しました。
sslshopper.com と ssllabs.com でドメインをテストしました。エラーは報告されず、すべての中間証明書が正しくインストールされていることが報告されます。
答え1
エラーは報告されず、すべての中間証明書が正しくインストールされていることが報告されます。
あなたが説明している症状は、この主張とはまったく相反するようです。Chrome (および IE?) は、不足している中間証明書を自動的にダウンロードしますが、Firefox やほとんどのモバイル アプリケーションはダウンロードしません。SSLLabs は、これらの中間証明書を不足しているとはマークしませんが、「追加ダウンロード」としてマークします。
そうでない場合は、サーバーで IPv4 と IPv6 が有効になっているかどうか、および IPv6 の設定が異なっているかどうかを確認してください。SSLLabs は IPv6 の設定をチェックしません。IPv6 が使用されるかどうかは、OS、接続、およびブラウザーの設定によって異なるため、この違いも説明できる可能性があります。この領域でのその他の違いは、場所に応じてサーバーの IP アドレスが異なることや、テストが異なることです (つまり、場合www.example.comによっては と のみ ) example.com。
答え2
何度も試行錯誤した結果、ようやく修正できました。何が解決したのかは正確にはわかりませんが、認証局からいくつかの中間証明書を読み込み続けました。証明書チェーンに名前で一致する中間証明書を読み込みましたが、シリアル番号が一致していないようでした。最終的に、Firefox と iOS Safari に適した組み合わせを見つけました。それでも、SSL Labs では追加のダウンロードは表示されませんでした。