Servidor: Windows 2012 R2/IIS 8.5 usando SNI (Azure Virtual Machine)
Tenho um certificado SSL instalado e funcionando em todos os navegadores, exceto Firefox e iOS Safari. A cadeia no Chrome e no IE aparece da seguinte forma:
Baltimore CyberTrust Root
---->XX Public Root Certification Authority
-------->XX Certification Authority
----------->xxx.domain.com
No Firefox e Safari no iOS, você recebe uma mensagem informando que o site não é confiável e se você visualizar o certificado via Adicionar Exceção, a cadeia aparecerá da seguinte forma:
XX Certification Authority
----->xxx.domain.com
XX A Autoridade de Certificação assinou o certificado xx.domain.com. A Autoridade de Certificação Raiz Pública assinou a Autoridade de Certificação XX e a CyberTrust assinou a Certificação Raiz Pública.
Os certificados intermediários estão no armazenamento de Autoridades de Certificação Intermediárias no servidor. Por algum motivo, o Firefox não baixa a cadeia de certificados completa (ou o servidor não a envia). Tentei excluir cert8.db no perfil do Firefox e isso aconteceu em máquinas limpas de forma consistente.
Testei meu domínio em sslshopper.com e ssllabs.com. Eles não relatam nenhum erro e informam que todos os certificados intermediários estão instalados corretamente.
Responder1
Eles não relatam nenhum erro e informam que todos os certificados intermediários estão instalados corretamente.
Os sintomas que você descreve parecem muito contrários a esta afirmação. O Chrome (e o IE?) baixa sozinho os certificados intermediários ausentes, enquanto o Firefox e a maioria dos aplicativos móveis não. SSLLabs não marcará esses certificados intermediários como ausentes, mas eles serão marcados como "Download Extra".
Se este não for o caso, verifique se o seu servidor tem IPv4 e IPv6 habilitados e se a configuração para IPv6 é diferente. SSLLabs não verifica a configuração do IPv6. Se o IPv6 for usado depende do sistema operacional, da conectividade e das preferências do navegador, isso também pode explicar essas diferenças. Outras diferenças nesta área são diferentes endereços IP do servidor dependendo da localização ou testes diferentes, ou seja, às vezes www.example.come às vezes apenas example.com.
Responder2
Depois de muitas tentativas e erros, finalmente consegui consertar. Não sei exatamente o que corrigiu o problema, mas continuei carregando vários certificados intermediários da minha autoridade de certificação. Embora eu tenha carregado certificados intermediários que correspondiam ao nome da cadeia de certificados, eles não pareciam corresponder ao número de série. Finalmente encontrei uma combinação que gostou do Firefox e do iOS Safari. Ainda assim, o SSL Labs nunca mostrou download extra.