iOS Safari、Chrome 和 macOS Chrome 和 Safari 上的证书错误。
iOS 13 和 MacOS 10.15 开始对受信任证书实施更严格的要求https://support.apple.com/en-us/HT210176
我已在多个 SSL 检查器上进行了检查,结果显示证书有效,但我仍然无法加载网站。我已验证以下要求:
- TLS 服务器证书和使用 RSA 密钥的颁发 CA 必须使用大于或等于 2048 位的密钥大小。使用小于 2048 位的 RSA 密钥大小的证书不再受 TLS 信任。
- TLS 服务器证书和颁发 CA 必须在签名算法中使用 SHA-2 系列中的哈希算法。SHA-1 签名证书不再受 TLS 信任。
- TLS 服务器证书必须在证书的“Subject Alternative Name”扩展中显示服务器的 DNS 名称。证书的 CommonName 中的 DNS 名称不再受信任。
有人知道证书出了什么问题吗?SSL 检查器已经验证了证书链是完整的,并且
答案1
我检查了你的网站https://uat.iconnect.care/和https://www.iconnect.care/。
Firefox 在您的两个网站上没有遇到任何问题。
Chrome 没有问题https://uat.iconnect.care/,但在网站上https://www.iconnect.care/报告:
错误 NET::ERR_CERTIFICATE_TRANSPARENCY_REQUIRED 似乎与 Chrome 现在要求某些证书颁发机构将 SSL 安全证书注册到证书透明度 (https://www.certificate-transparency.org)。
因此,我查看了你们两个网站上的证书,发现它们并不相同。我得到了以下证书指纹:
- https://uat.iconnect.care/:29beacb232616ff1a23d00dd28a4ba2e7c9310ab
- https://www.iconnect.care/:4fc140fddcb53df077e681c9f12e0bd0c9577e27
这证明这是两张不同的证书。
为了检查证书透明度,我验证了网站https://uat.iconnect.care/在现场有此信息SCT 列表:
然而,用于https://www.iconnect.care/ 没有:
结论:使用的证书https://www.iconnect.care/ 未在证书透明度中注册,无法在检查证书透明度的浏览器上使用,尤其是 Chrome。要求 GlobalSign 重新颁发证书,这次在证书透明度中注册。或者用其他证书替换网站的证书。
答案2
苹果执行的要求远不止这些。特别是,它有一个证书透明度政策要求将证书记录在公共 CT 日志中,和在同一个 TLS 握手期间提供包含在 CT 日志中的证明(无需浏览器自行查找)。
证明(SCT)可以作为扩展嵌入到证书本身中,或者如果 Web 服务器已配置 OCSP Stapling,则可以使用 OCSP Stapling 提供。
但是,您的网站没有上述任何一项。尽管相应的“预证书”有确实已提交给各种 CT 日志,安装在您的网络服务器上的“最终”证书缺少“CT 签名证书时间戳”(1.3.6.1.4.1.11129.2.4.2)扩展,并且网络服务器在 TLS 握手期间也不提供 OCSP 装订。
其他平台上的 Google Chrome 也有类似的政策,尽管目前仅适用于 EV 证书。从 Windows 连接时,它会显示 ERR_CERTIFICATE_TRANSPARENCY_REQUIRED。
删除网站名称确实会使这些问题难以回答和/或令人讨厌,因为答案不仅取决于证书本身,还取决于 Web 服务器的配置——有关 OCSP 装订的信息是通过直接测试 Web 服务器的 TLS 响应获得的,当然没有人知道提供的屏幕截图是否包括全部证书详细信息,或者其中某些内容是否已被裁剪。
幸运的是,可以根据其序列号和/或主题密钥标识符(或者甚至根据发行/到期日期,如果需要)在上述相同的 CT 日志中找到未编辑的证书,因此您的网站名称无论如何都是公开的。