このSSL証明書チェーンは壊れていて、その修正方法は？

ドメインexample.comのSSL証明書の場合は、いくつかのテストは、チェーンが不完全であることを教えてとFirefoxは、独自の証明書ストアを保持するので、それは、Mozilla（に失敗することがあります1、2、3）。他の人は、それは結構です教えて証明書チェーンは大丈夫であることを私に告げるのFirefox 36は、同じように、。

更新：Windows XPとMacOS X Snow Leopardの両方でOpera、Safari、Chrome、IEでテストしましたが、すべて正常に動作します。両方のOSのFirefox <36でのみ失敗します。Linuxでテストすることはできませんが、このWebサイトでは訪問者の1％未満であり、ほとんどがボットです。したがって、これは「このセットアップはMozilla Firefoxで警告を表示するかどうか」および「このSSL証明書チェーンは壊れているかどうか」という元の質問に答えます。

したがって、問題は、どの証明書をssl.caファイルに配置して、Apacheで提供してFirefox <36が窒息しないようにする必要があるかを見つける方法ですか？

PS：補足説明として、証明書のテストに使用したFirefox 36はまったく新しいインストールでした。同じチェーンを使用するサイトへの前回の訪問の間に中間証明書をダウンロードしたので、文句を言わなかった可能性はありません。

チェーンが十分かどうかは、クライアントのCAストアに依存します。FirefoxとGoogle Chromeには2014年末の「COMODO RSA Certification Authority」の証明書が含まれているようです。InternetExplorerの場合、おそらく基盤となるOSに依存します。CAは、ブラウザ以外のクローラー、モバイルアプリケーションなどが使用するトラストストアにまだ含まれていない可能性があります。

いずれの場合でも、SSLLabsレポートからわかるように、チェーンは完全には正しくありません。

• 1つの信頼パスでは、新しいCAがブラウザーによって信頼されている必要があります。この場合、信頼できるCAは組み込みでチェーンに含まれていない必要があるため、間違った新しいCAを出荷します。
• 他の信頼パスは不完全です。つまり、追加のダウンロードが必要です。Google Chromeなどの一部のブラウザーはこのダウンロードを実行しますが、他のブラウザーと非ブラウザーは、必要なすべての証明書が出荷されたチェーン内に含まれることを期待します。したがって、新しいCAが組み込まれていないほとんどのブラウザとアプリケーションは、このサイトで失敗します。

Comodoに連絡して、そこからbundle.crtファイルをダウンロードしました。このサーバーのセットアップに従って、この名前をssl.caに変更しました。現在、証明書はすべてのテストに合格しています。Chain issues = Contains anchor通知は問題ではありません（下記参照）。

最も完全なテストと広く見なされているSSL LabsはChain issues = Contains anchor、以前は表示されていましたがChain issues = None（他のグループはチェーンの問題を示していました）、現在表示されています。これは本当に非の問題（ある1、2、サーバーがクライアントに送信する余分な1kBのとは別に、）。

私の結論

1. SSL Labsテストを無視するかChain issues = Contains anchor、バンドルファイルからルート証明書を削除するか、削除します（以下のコメントを参照）。

2. 常に他の3つのテストサイト（の少なくとも一つの上に二次テストを実行する1、2、3時にチェーンが本当に大丈夫であることを確認するために）SSL研究所は言いますChain issues = None。