我最近遇到了 Sectigo Root 证书将于今年 5 月 30 日到期的问题:https://gist.github.com/minaguib/c8db186af450bceaaa7c452ba6a9901b
我更新了我们服务器上的证书链,除了一名用户之外,所有员工和用户都无缝地进行了更改。
遇到问题的单个用户正在为我们的网站加载无效链。下面是屏幕截图。
服务器端注意事项:
- 服务器已更新并确认证书和链可以使用(附加截图)。
- 我有一个客户端仍在加载无效的证书链。
- 终止 TLS 的服务器是 Amazon ALB 实例。
- 已使用在线服务验证了服务器证书链的完整性。下面的屏幕截图显示了这一点。
客户端注意事项:
删除 Mac 钥匙串中所有“过期”或“无效”的条目。
在 Mac 钥匙串中搜索有关“AddTrust”的任何引用
彻底清除所有浏览器缓存。Chrome 已更新至版本 83.0.4103.97(但 Safari 也失败了,所以我认为不是浏览器的问题)
检查日期/时间
以下是最终用户在浏览器证书链中看到的内容:
以下是其他人浏览我们的网站时看到的内容:
以下是来自第三方在线服务的验证,以确认链的有效性:
答案1
知道了。
该用户使用的是 MacOS 10.11(El Capitan),该系统没有现代根 CA,而且 Apple 已于 2019 年停止更新该操作系统。
因此,Mac Keychain 没有更新的根 CA,所以我的站点证书不受信任。
受影响最显著的客户:
- Apple Mac OS X 10.11 (El Capitan) 或更早版本
- Apple iOS 9 或更早版本
- Google Android 5.0 或更早版本
- Microsoft Windows Vista 和 7(如果在 2010 年 6 月之前已禁用更新根证书功能)
- Microsoft Windows XP(如果自 2010 年 6 月之前未收到自动根更新)
- Mozilla Firefox 35 或更早版本
- Oracle Java 8u50 或更早版本
- 自 2015 年中期之前未安装固件更新的嵌入式设备(尤其是复印机)
更多细节: