適切な SSL 証明書がクライアントのコンピューター上で失敗する可能性はありますか?

クライアントが証明書を不適切と判断する理由は数多くあります。おそらく、クライアントは証明書がトラストアンカーにチェーンされているとは考えていません。サイトを次のように実行します。クアリス SSLラボ(これは、私の意見では、これまでのところ最も包括的で情報豊富な SSL テスト ツールです) ただし、そのサイトはポート 443 のサービスのみをサポートしているため、役に立つ診断情報がいくつか欠けています。

この時点で、クライアントに何が起こっているのかを正確に尋ねて、同様の構成で問題を再現できるようにする必要があります。

クライアントが通常の Web ブラウザであるように見えるため、問題はブラウザ自体ではなく、何らかの SSL インターセプションが行われていると考えられます。これは、現在のクライアント側ウイルス スキャナ (通常は必要なプロキシ CA をシステム CA ストアに配置する) や、企業環境のファイアウォールなどの一部のミドルボックスでは非常に一般的です。通常、この場合、他の SSL サイトも失敗しますが、非標準ポートが原因で何らかの特別な処理が行われている可能性もあります。

クライアントのブラウザに配信された証明書とチェーンを確認すると、問題のデバッグに役立つ可能性があります。

はい、もちろん！クライアントが有効な証明書を受け入れない理由は多数考えられます。ここでは一般的な例をいくつか挙げます。

• クライアント時間が無効です。これは最も一般的な原因です (つまり、BIOS バッテリーが空の場合) が、おそらくこれがあなたを悩ませている原因ではないでしょう。
• ドメイン名が間違っています。これは通常、証明書に含まれていないサブドメインによって発生します。ブラウザがサポートしていない場合、これはクライアントエラーの可能性があります。スニ、 チェックここ最近のブラウザのほとんどはこれを長年サポートしていますが、例外は皆さんがよくご存知の大手ソフトウェア会社のブラウザです ;)
• 安全でない暗号化。他のブラウザについてはわかりませんが、Chrome は最近、https を使用しているものの、安全ではないと見なされる暗号 (RC4、SHA1) を使用している接続を表示するようになりました。安全ではない。クライアントは Chrome を使用しているため、これはオプションです。私の場合、接続は安全であると表示されますが、これは古い可能性があります。

• 中間者攻撃。ブラウザが常に表示する警告ですが、誰も読もうとはしません。これは、本物の攻撃者がデータを盗聴しようとしているか、会社のプロキシが特殊なポートで何が起こっているかをスパイしようとしている可能性があります。また、一部のAVおよび広告ソフトウェアhttps 証明書ストアが混乱します。

• 無効な CA です。これはまれですが、発生すると原因を突き止めるのが困難です。これは、一部のブラウザが特定の CA を受け入れないことから始まります (つまり、Firefox で CACert がブロックされます)。一部のブラウザには独自の証明書ストアがありますが (Firefox も同様)、他のブラウザはシステムの証明書ストアに依存しており、これはさらに悪い状況です。なぜでしょうか。すべての Windows バージョンで証明書ストアを混乱させる AV、Ad、および NSA ソフトウェアの他に、ディストリビューション固有の受け入れの多様性と、独自のポリシーをインストールする会社のポリシーの問題もあります。会社に AV プロキシがある場合は、代わりにその証明書ストアを使用する必要があります。これはプロキシ ソフトウェアに固有のものである可能性があります。これが問題である場合は、幸運を祈ります。

情報が少ないため、クライアントの問題が何であるかを正確に判断することは困難ですが、クライアントに問題があることは間違いありません。

ページ内に、無効な、または存在しない SSL 証明書を持つ iframe が 1 つあります。