私のサイトhttps://www.snipsalonsoftware.com/のSSL証明書は、Androidでは機能しません。この問題のトラブルシューティングでは、自分のサイトをQualys SSL Labsテストツールに接続しました。
https://www.ssllabs.com/ssltest/analyze.html?d=www.snipsalonsoftware.com&s=50.57.181.104
このレポートは私に「チェーンの問題」があることを教えてくれているようです。何かが「不完全」です。しかし、私は不完全なものを正確に理解するのに苦労しています。
次のセクションの「Certification Paths」の下に、「Extra download」というオレンジ色のテキストが表示されます(オレンジは「ちょっと悪い」という意味だと思います)。これが何を意味するのか、どのように修正するのか私にはわかりません。私はこのスレッドを見つけましたが、彼らが言っていることを私の解決策に変換する方法がわかりません。
私は何をすべきか?
回答:
ブラウザーにのみ証明書を送信するようにサーバーを構成しました。ほとんどのデスクトップブラウザーでは、中間およびルートCAの詳細が既に多く含まれているため、信頼の連鎖を簡単に構築できるため、これは問題ありません。ほとんどのモバイルブラウザでは、通常、証明書チェーン全体、つまり発行元のCAの証明書チェーンと、そのCAと最終的なルートCAの間に存在する可能性のある中間体を提供する必要があります。このシナリオでは、モバイルデバイスにルートCAの詳細が含まれている可能性があります。
特定の証明書については、次のComodoヘルプデスクの記事をご覧ください。ナレッジベース:Comodo認証局>証明書> SSL>証明書のインストール
証明書には、発行者の証明書へのURLを持つ特別な機関情報アクセス拡張(RFC-3280)を含めることができます。ほとんどのブラウザーは、AIA拡張機能を使用して、欠落している中間証明書をダウンロードして、証明書チェーンを完成させることができます。ただし、一部のクライアント(モバイルブラウザー、OpenSSL)はこの拡張機能をサポートしていないため、このような証明書は信頼できないものとして報告されます。
不完全な証明書チェーンの問題は、証明書からすべての証明書を信頼されたルート証明書(この順序で排他的)に連結して手動で解決し、このような問題を防ぐことができます。信頼できるルート証明書はシステムのルート証明書ストアにすでに含まれているため、そこに存在しないように注意してください。
発行者から中間証明書をフェッチし、それらを自分で連結できるはずです。手順を自動化するスクリプトを作成しました。AIA拡張をループして、正しくチェーンされた証明書の出力を生成します。https://github.com/zakjan/cert-chain-resolver
Go