我有一台仅包含媒体(图像)的服务器。媒体服务器有一个从 GoDaddy 购买的 SSL 证书。
如果我去
https://media.mydomain.com/media/SiteImages2/KHeadshot.jpg
它会打开一个仅包含上述 JPG 图像的页面。我在 Mac 上的 Chrome、Firefox 和 Safari 中看到了“安全”锁。
我们团队的大多数其他成员也看到了同样的情况。
但有些团队成员收到的却是警告页面。不同浏览器的警告不同,但 Firefox 的警告内容为:“您的连接不安全。media.mydomain.com 的所有者对其网站的配置不当。为了保护您的信息不被盗用,Firefox 未连接到此网站。”
遇到此问题的少数用户中,大多数只会在 Firefox 中看到此类消息。其中一人还表示,他们在 Chrome 和 Safari 中也看到了此类消息。大多数人在所有浏览器中都获得了带有绿色“安全”锁的安全连接,就像我一样。
我与 GoDaddy 支持人员进行了交谈,他们耐心地尝试测试我提供的所有 URL,并且每次都能获得安全连接,他们说网站看起来很好,SSL 证书看起来很好。
他们建议我去 Google 上搜索,看看能否找到答案。所以我来到这里。
我自己无法重现该问题,但迄今为止团队测试结果如下。我确实让他们清除了浏览器缓存。
- Windows 用户:Chrome 和 Edge 可以,Firefox 不行
- Mac 用户:Chrome、Firefox、Safari 均可
- Mac 用户:Chrome 和 Firefox 都可以
- Mac 用户:Chrome、Firefox、Sari 都可以
- Mac 用户:Chrome 和 Safari 可以,Firefox 不行
- Windows 用户:Edge 可以
- Mac 用户:Firefox 和 Opera 可以
- Mac 用户:Firefox、Chrome 和 Safari 都不行
对于某些浏览器上某些用户出现此问题的原因,您有什么建议吗?
答案1
您的服务器似乎只发送终端实体(服务器)证书。运行:
openssl s_client -connect media.edweb.net:443
仅返回服务器证书。
但是,该证书是由 Starfield Secure 证书颁发机构 - G2 签名的,并且该证书也需要由您的服务器发送。您需要与服务器管理员沟通,并向他们指出RFC 5246 第 7.4.2 节一旦他们认识到自己的错误,他们就需要重新配置他们的网络服务器以发送服务器和 CA 证书。
您的网站对某些客户来说有效有两个原因:
- 您的证书具有授权信息访问 (AIA) 扩展,其中包含缺失 CA 证书的 URL。一些客户端(尤其是 Microsoft 和适用于 Windows 的 Chrome - 不确定 Apple 世界中的哪个客户端)使用该 URL 来获取缺失的证书。其他客户端(尤其是 Firefox)则不会这样做,因此无法构建证书链,从而显示错误。
- 客户端会缓存以前访问过的证书。您的某些用户在定期浏览正确配置的站点时会遇到此缺失的 CA 证书。因此,证书将被缓存,并可在访问您的站点时用于链构建过程。另一方面,没有缓存证书的浏览器将显示错误。
因此,使用不使用 AIA 且没有缓存证书的浏览器的用户将会失败。
使用采用 AIA 扩展或缓存 CA 证书的浏览器的用户不会显示任何错误。