我已使用 Certbot (CentOS 7) 为我的网站安装了 Let's Encrypt 的 SSL 证书。除 Mozilla Firefox 外,每个主流 Web 浏览器都成功与我的 Web 服务器建立 https 连接。这是我在尝试加载我的网站时在 Mozilla Firefox 中收到的警告:
vozilo.rs uses an invalid security certificate.
The certificate is not trusted because the issuer certificate is unknown.
The server might not be sending the appropriate intermediate certificates.
An additional root certificate may need to be imported. Error code: SEC_ERROR_UNKNOWN_ISSUER
这里是 SSL Shopper 的报告。
过去几天我一直在寻找解决这个问题的方法,但一直没找到解决方案。我该怎么做才能让 Firefox 加载我的网站而不出现 SSL 警告?
答案1
您应该在证书链中提供中间证书。
您链接的测试显示:“并非所有 Web 浏览器都信任此证书。您可能需要安装中间/链证书以将其链接到受信任的根证书。”
即,客户端只应在其受信任的证书存储中拥有根证书,而您应该为整个链的其余部分提供服务。
例如看看SSLLabs 报告,其中显示:
Chain issues: Incomplete, Extra certs
在其构建的链条中,显示:
2 Extra download Let's Encrypt Authority X3
Fingerprint SHA256: 25847d668eb4f04fdd40b12b6b0740c567da7d024308eb6c2c96fe41d9de218d
Pin SHA256: YLh1dUR9y6Kja30RrAn7JKnbQG/uEtLMkBgFF2Fuihg=
RSA 2048 bits (e 65537) / SHA256withRSA
(“额外下载”是关键)。
提供您自己的证书和这个中间证书,拥有现代信任存储的客户端将会很高兴,而只有您自己的证书则更像是一枚硬币的翻转。