我们最近更新了 Nginx 网络服务器的 Thawte SSL 证书。以前我们一直使用 SHA1 作为签名算法,但这次使用了 SHA256,这会导致出现一个新的根证书,称为“thawte Primary Root CA - G3”(可以在他们的网站上找到 - 没有足够的声誉来发布链接)。
自推出以来,我们开始接到使用 OS X 的客户的电话,称在浏览 https 页面时收到错误“此证书由未知机构签名”。
Thawte 的证书检查器对我们安装的证书链非常满意:https://ssltools.thawte.com/checker/views/certCheck.jsp (我们有我们的证书,加上 pem 文件中的“thawte Extended Validation SHA256 SSL CA”中间件)
经过测试,我们发现在 OS X 操作系统的所有版本上,Safari、Opera 和 Chrome 都会出现错误。Firefox 在 OS X 下没有问题(我相信它附带了自己的证书信任存储)。所有浏览器在 Windows 下似乎都没有问题。
当我们检查 OS X Access Keychain 时,我们发现 thawte Primary Root CA - G3 已经安装,但不知何故浏览器无法完成该链。
这是一个使用相同中间体和根的测试站点(不是我们的),它在 OS X 下表现出完全相同的症状:
有人能解释一下为什么当此站点的根 CA 默认安装在 OS X 10.9 的访问钥匙串中时,OS X 无法将其识别为受信任的吗?
答案1
刚刚通过聊天与 Thawte 支持人员进行了交谈,他们确认这是一个问题,并且 Apple 已就此问题展开了调查(自 2014 年 7 月 31 日起)。目前尚无回复/修复预计时间。
答案2
2014 年 9 月 17 日,主根 CA - G3(中间带有 SHA-256 签名)仍然未被最新的 Mac 操作系统接受。
Thawte 提交了 Apple Bug 编号 17095623,以便他们修复此问题。