Servidor: Windows 2012 R2 / IIS 8.5 usando SNI (Máquina Virtual Azure)
Tengo un certificado SSL que se instaló y funciona en todos los navegadores excepto Firefox e iOS Safari. La cadena en Chrome e IE aparece de la siguiente manera:
Baltimore CyberTrust Root
---->XX Public Root Certification Authority
-------->XX Certification Authority
----------->xxx.domain.com
En Firefox y Safari en iOS, recibe un mensaje que dice que el sitio no es de confianza y si ve el certificado a través de Agregar excepción, la cadena aparece de la siguiente manera:
XX Certification Authority
----->xxx.domain.com
XX Autoridad de Certificación ha firmado el certificado xx.dominio.com. La Autoridad de Certificación Raíz Pública ha firmado la Autoridad de Certificación XX y CyberTrust ha firmado la Certificación Raíz Pública.
Los certificados intermedios se encuentran en el almacén de Autoridades de certificación intermedias del servidor. Por alguna razón, Firefox no descarga la cadena de certificados completa (o el servidor no la envía). Intenté eliminar cert8.db en el perfil de Firefox y esto sucedió en máquinas limpias de manera constante.
Probé mi dominio en sslshopper.com y ssllabs.com. No informan ningún error e informan que todos los certificados intermedios están instalados correctamente.
Respuesta1
No informan ningún error e informan que todos los certificados intermedios están instalados correctamente.
Los síntomas que usted describe parecen muy contrarios a esta afirmación. Chrome (¿e IE?) descargan por sí solos los certificados intermedios que faltan, mientras que Firefox y la mayoría de las aplicaciones móviles no lo hacen. SSLLabs no marcará estos certificados intermedios como faltantes, pero sí se marcarán como "Descarga adicional".
Si este no es realmente el caso, verifique si su servidor tiene IPv4 e IPv6 habilitados y si la configuración para IPv6 es diferente. SSLLabs no verifica la configuración de IPv6. Si se utiliza IPv6 depende del sistema operativo, la conectividad y las preferencias del navegador, por lo que esto también podría explicar tales diferencias. Otras diferencias en este ámbito son las diferentes direcciones IP del servidor según la ubicación o las diferentes pruebas, es decir, a veces www.example.comy sólo a veces example.com.
Respuesta2
Después de muchas pruebas y errores, finalmente pude solucionarlo. No sé exactamente qué lo solucionó, pero seguí cargando varios certificados intermedios de mi autoridad de certificación. Aunque había cargado certificados intermedios que coincidían con la cadena de certificados por nombre, no parecía coincidir con el número de serie. Finalmente encontré una combinación que le gustó a Firefox y iOS Safari. Aún así, SSL Labs nunca mostró descargas adicionales.