서버: SNI(Azure Virtual Machine)를 사용하는 Windows 2012 R2/IIS 8.5
Firefox 및 iOS Safari를 제외한 모든 브라우저에서 SSL 인증서가 설치되어 작동하고 있습니다. Chrome 및 IE의 체인은 다음과 같이 나타납니다.
Baltimore CyberTrust Root
---->XX Public Root Certification Authority
-------->XX Certification Authority
----------->xxx.domain.com
iOS의 Firefox 및 Safari에서는 사이트를 신뢰할 수 없다는 메시지가 표시되고 예외 추가를 통해 인증서를 보면 체인이 다음과 같이 나타납니다.
XX Certification Authority
----->xxx.domain.com
XX 인증 기관이 xx.domain.com 인증서에 서명했습니다. 공용 루트 인증 기관은 XX 인증 기관에 서명했으며 CyberTrust는 공용 루트 인증에 서명했습니다.
중간 인증서는 서버의 중간 인증 기관 저장소에 있습니다. 어떤 이유로 Firefox는 전체 인증서 체인을 다운로드하지 않습니다(또는 서버가 인증서를 보내지 않습니다). Firefox 프로필에서 cert8.db를 삭제하려고 시도했는데 깨끗한 컴퓨터에서 지속적으로 이런 일이 발생했습니다.
sslshopper.com 및 ssllabs.com에서 내 도메인을 테스트했습니다. 오류는 보고되지 않으며 모든 중간 인증서가 올바르게 설치되었다고 보고됩니다.
답변1
오류는 보고되지 않으며 모든 중간 인증서가 올바르게 설치되었다고 보고됩니다.
당신이 설명하는 증상은 이 주장과 매우 반대되는 것 같습니다. Chrome(및 IE?)은 누락된 중간 인증서를 자체적으로 다운로드하지만 Firefox와 대부분의 모바일 애플리케이션은 그렇지 않습니다. SSLLabs는 이러한 중간 인증서를 누락된 것으로 표시하지 않지만 "추가 다운로드"로 표시됩니다.
실제로 그렇지 않은 경우 서버에 IPv4 및 IPv6가 활성화되어 있는지, IPv6 설정이 다른지 확인하십시오. SSLLabs는 IPv6 설정을 확인하지 않습니다. IPv6를 사용하는 경우에는 브라우저의 OS, 연결성 및 기본 설정에 따라 다르므로 이러한 차이점도 설명될 수 있습니다. 이 영역의 다른 차이점은 위치에 따라 서버의 IP 주소가 다르거나 테스트가 다르다는 것입니다. 즉 www.example.com때로는 example.com.
답변2
많은 시행착오 끝에 마침내 고칠 수 있었습니다. 무엇이 문제를 해결했는지 정확히 알지 못하지만 인증 기관에서 여러 중간 인증서를 계속 로드했습니다. 인증서 체인과 이름이 일치하는 중간 인증서를 로드했지만 일련번호가 일치하지 않는 것 같습니다. 드디어 Firefox와 iOS Safari가 마음에 드는 조합을 찾았습니다. 그럼에도 불구하고 SSL Labs는 추가 다운로드를 표시하지 않았습니다.