伺服器:使用 SNI(Azure 虛擬機器)的 Windows 2012 R2 / IIS 8.5
我已經安裝了 SSL 證書,並且可以在 Firefox 和 iOS Safari 之外的所有瀏覽器中使用。 Chrome 和 IE 中的鏈如下所示:
Baltimore CyberTrust Root
---->XX Public Root Certification Authority
-------->XX Certification Authority
----------->xxx.domain.com
在 iOS 上的 Firefox 和 Safari 中,您會收到一條訊息,指出該網站不受信任,如果您透過「新增例外」查看證書,則鏈將顯示如下:
XX Certification Authority
----->xxx.domain.com
XX 憑證授權單位已簽署 xx.domain.com 憑證。公共根憑證授權單位已簽署 XX 憑證授權機構,CyberTrust 已簽署公共根憑證。
中間憑證位於伺服器上的中間憑證授權單位儲存中。由於某種原因,Firefox 將不會下載完整的憑證鏈(或伺服器沒有發送它)。我曾嘗試刪除 Firefox 設定檔中的 cert8.db,並且在乾淨的電腦上始終發生這種情況。
我已在 sslshopper.com 和 ssllabs.com 測試了我的網域。它們不報告任何錯誤,並報告所有中間證書已正確安裝。
答案1
它們不會報告任何錯誤,並報告所有中間證書已正確安裝。
您所描述的症狀看起來與這種說法非常相反。 Chrome(和 IE?)會自行下載缺少的中間證書,而 Firefox 和大多數行動應用程式則不會。 SSLLabs 不會將這些中間憑證標記為遺失,但會標記為「額外下載」。
如果情況並非如此,請檢查您的伺服器是否啟用了 IPv4 和 IPv6,以及 IPv6 的設定是否不同。 SSLLabs 不檢查 IPv6 設定。是否使用 IPv6 取決於作業系統、連線性和瀏覽器的首選項,因此這也可以解釋此類差異。此方面的其他差異是伺服器的 IP 位址不同,具體取決於位置或不同的測試,即有時www.example.com和有時僅example.com。
答案2
經過多次嘗試和錯誤,我終於能夠修復它。我不知道到底是什麼解決了這個問題,但我繼續從我的憑證授權單位載入幾個中間憑證。儘管我已經加載了按名稱與證書鏈匹配的中間證書,但它的序號似乎不匹配。我終於找到了 Firefox 和 iOS Safari 喜歡的組合。儘管如此,SSL 實驗室從未顯示出額外的下載量。