Server: Windows 2012 R2 / IIS 8.5 mit SNI (Azure Virtual Machine)
Ich habe ein SSL-Zertifikat, das installiert wurde und in allen Browsern außer Firefox und iOS Safari funktioniert. Die Kette in Chrome und IE sieht wie folgt aus:
Baltimore CyberTrust Root
---->XX Public Root Certification Authority
-------->XX Certification Authority
----------->xxx.domain.com
In Firefox und Safari unter iOS erhalten Sie die Meldung, dass die Site nicht vertrauenswürdig ist. Wenn Sie das Zertifikat über „Ausnahme hinzufügen“ anzeigen, sieht die Kette wie folgt aus:
XX Certification Authority
----->xxx.domain.com
Die XX Certification Authority hat das Zertifikat xx.domain.com signiert. Die Public Root Certification Authority hat die XX Certification Authority signiert und CyberTrust hat die Public Root Certification signiert.
Die Zwischenzertifikate befinden sich im Zwischenzertifizierungsstellenspeicher auf dem Server. Aus irgendeinem Grund lädt Firefox die vollständige Zertifikatskette nicht herunter (oder der Server sendet sie nicht). Ich habe versucht, cert8.db im Firefox-Profil zu löschen, und dies ist auf sauberen Rechnern durchgängig passiert.
Ich habe meine Domain bei sslshopper.com und ssllabs.com getestet. Sie melden keine Fehler und melden, dass alle Zwischenzertifikate korrekt installiert sind.
Antwort1
Sie melden keine Fehler und melden, dass alle Zwischenzertifikate korrekt installiert sind.
Die von Ihnen beschriebenen Symptome scheinen dieser Behauptung völlig zu widersprechen. Chrome (und IE?) laden fehlende Zwischenzertifikate selbst herunter, während Firefox und die meisten mobilen Anwendungen dies nicht tun. SSLLabs markiert diese Zwischenzertifikate nicht als fehlend, sondern als „Zusätzlicher Download“.
Wenn dies wirklich nicht der Fall ist, prüfen Sie, ob Ihr Server IPv4 und IPv6 aktiviert hat und ob die Einstellungen für IPv6 unterschiedlich sind. SSLLabs prüft die IPv6-Einstellungen nicht. Ob IPv6 verwendet wird, hängt vom Betriebssystem, der Konnektivität und den Einstellungen des Browsers ab, sodass dies auch solche Unterschiede erklären könnte. Weitere Unterschiede in diesem Bereich sind unterschiedliche IP-Adressen des Servers je nach Standort oder unterschiedliche Tests, d. h. manchmal www.example.comund manchmal nur example.com.
Antwort2
Nach langem Herumprobieren konnte ich das Problem endlich beheben. Ich weiß nicht genau, was das Problem behoben hat, aber ich habe weiterhin mehrere Zwischenzertifikate von meiner Zertifizierungsstelle geladen. Obwohl ich Zwischenzertifikate geladen hatte, die namentlich mit der Zertifikatskette übereinstimmten, schien die Seriennummer nicht zu stimmen. Ich habe schließlich eine Kombination gefunden, die Firefox und iOS Safari gefiel. Trotzdem haben die SSL Labs nie einen zusätzlichen Download angezeigt.