SSL cert "err_cert_authority_invalid" su Chrome cellulare solo

Question

Domain: https://www.amz2btc.com

Analisi da Labs SSL: https://www.ssllabs.com/ssltest/analyze.html?d=amz2btc.com

Tutti i miei browser desktop aprono questo fine. Mobile Firefox si apre bene. Solo quando ho provato con Chrome mobile ho ricevuto l'errore: err_cert_authority_invalid

So molto poco di SSL, quindi non posso davvero dare un senso al rapporto SSL o perché questo errore si sta verificando. Se qualcuno potesse ELI5, sarebbe l'ideale. :)

Answer 1

La relazione SSLabs dice:

This server's certificate chain is incomplete. Grade capped to B. 
    .... 
    Chain Issues     Incomplete 

browser desktop spesso hanno i certificati di catena nella cache da connessioni precedenti o scaricarli da l'URL indicato nel certificato. I browser mobili e altre applicazioni di solito no.

Correggere la catena includendo i certificati mancanti e tutto dovrebbe essere corretto.

Answer 2

Ho appena trascorso la mattinata a occuparmi di questo. Il problema non era che mancasse un certificato. Era che avevo un extra.

ho iniziato con la mia ssl.conf contenente la chiave del server e tre file forniti dalla mia SSL autorità di certificazione:

# Server Certificate: 
SSLCertificateFile /etc/pki/tls/certs/myserver.cer 

# Server Private Key: 
SSLCertificateKeyFile /etc/pki/tls/private/myserver.key 

# Server Certificate Chain: 
SSLCertificateChainFile /etc/pki/tls/certs/AddTrustExternalCARoot.pem 

# Certificate Authority (CA): 
SSLCACertificateFile /etc/pki/tls/certs/InCommonServerCA.pem 

Ha funzionato bene sui desktop, ma Chrome su Android mi ha dato err_cert_authority_invalid

Un sacco di mal di testa, la ricerca e la documentazione poveri tardi, ho capito che era la catena di certificati server:

SSLCertificateChainFile /etc/pki/tls/certs/AddTrustExternalCARoot.pem 

Questo è stato creat una catena di certificati secondo incompleta. Ho commentato quella riga, lasciandomi con

# Server Certificate: 
SSLCertificateFile /etc/pki/tls/certs/myserver.cer 

# Server Private Key: 
SSLCertificateKeyFile /etc/pki/tls/private/myserver.key 

# Certificate Authority (CA): 
SSLCACertificateFile /etc/pki/tls/certs/InCommonServerCA.pem 

e ora funziona ancora su Android. Questo era su Linux con Apache 2.2.

Answer 3

Ho avuto lo stesso probleme ma la risposta fatta da Mike A mi ha aiutato a capirlo: avevo un mio certificato, un certificato intermedio (Gandi), un altro intermedio (UserTrustRSA) e, infine, il certificato RootCA (AddTrust).

Quindi ho creato un file di catena con Gandi + UserTrustRSA + AddTrust e lo ho specificato con SSLCertificateChainFile. Ma non ha funzionato.

Così ho provato mikea risposta da solo mettendo AddTruct cert in un file e specificato con SSLCACertificateFile e la rimozione SSLCertificateChainFile .Ma non ha funzionato.

Così finnaly ho fatto un file di catena con solo Gandi + UserTrustRSA specificato dal SSLCertificateChainFile e l'altro file con il solo RootCA specificato dal SSLCACertificateFile e ha funzionato.

# Server Certificate: 
SSLCertificateFile /etc/ssl/apache/myserver.cer 

# Server Private Key: 
SSLCertificateKeyFile /etc/ssl/apache/myserver.key 

# Server Certificate Chain: 
SSLCertificateChainFile /etc/ssl/apache/Gandi+UserTrustRSA.pem 

# Certificate Authority (CA): 
SSLCACertificateFile /etc/ssl/apache/AddTrust.pem 

Sembra logico quando si legge ma spero che sia d'aiuto.

Answer 4

Ho anche avuto un problema con la catena e riuscito a risolvere utilizzando questa guida https://gist.github.com/bradmontgomery/6487319

Answer 5

spero io non sono troppo tardi, questa soluzione qui ha lavorato per me, sto usando COMODO SSL, le soluzioni di cui sopra sembrano non valida nel corso del tempo, il mio sito web lifetanstic.co.ke

Invece di contattare Comodo sostegno e di ottenere un file di CA fascio È possibile effettuare le seguenti operazioni:

quando si ottiene il nuovo CERT dello SSL da Comodo (per posta) hanno un file zip allegato. È necessario decomprimere il file zip e aprire i seguenti file in un editor di testo come Blocco note:

AddTrustExternalCARoot.crt 
COMODORSAAddTrustCA.crt 
COMODORSADomainValidationSecureServerCA.crt 

quindi copiare il testo di ogni file ".crt" e incollare il testo di cui sopra vicenda nel "Certificate Authority Bundle (facoltativo) "campo.

Successivamente, aggiungere il certificato SSL come al solito nel campo "Certificato" e fare clic sul pulsante "Autofil by Certificate" e premere "Installa".

Ispirato da questo succo: https://gist.github.com/ipedrazas/6d6c31144636d586dcc3

Answer 6

se siete come me che sta usando AWS e CloudFront, ecco come risolvere il problema. è simile a quello che altri hanno condiviso, tranne che non usi il file crt del tuo dominio, solo che comodo ti ha inviato via email.

cat COMODORSADomainValidationSecureServerCA.crt COMODORSAAddTrustCA.crt AddTrustExternalCARoot.crt > ssl-bundle.crt 

questo ha funzionato per me e il mio sito non visualizza più l'avviso ssl su chrome in Android.

Answer 7

Basta effettuare le seguenti operazioni per la versione 44.0.2403.155 dev-m

privata -> Impostazioni contenuti -> Non consentire ad alcun sito di eseguire JavaScript

Problema risolto

Answer 8

Per coloro che hanno questo problema sui server IIS.

Spiegazione: a volte i certificati di trasportare un URL di un certificato intermedio al posto del certificato vero e proprio. I browser desktop possono DOWNLOAD il certificato intermedio mancante che utilizza questo URL. Ma i vecchi browser per dispositivi mobili non sono in grado di farlo. Quindi lanciano questo avvertimento.

È necessario

1) assicurarsi che tutti i certificati intermedi sono serviti dal server

2) disattivare percorsi di certificazione non necessari in IIS - In "di certificazione fonti attendibili Autorità", è necessario "disattivare tutte scopi "per il certificato che attiva il download.

PS. il mio collega ha scritto un post sul blog con passaggi più dettagliati: https://www.jitbit.com/maxblog/21-errcertauthorityinvalid-on-android-and-iis/

Answer 9

Ho avuto lo stesso problema durante l'hosting di un sito Web tramite Parse e l'utilizzo di un certificato SSL Comodo rivenduto da NameCheap.

Riceverai due file cert all'interno di una cartella zip: www_yourdomain_com.ca-fascio www_yourdomain_com.crt

È possibile caricare solo file da analizzare: Parse SSL Cert Input Box

Nel terminale di combinare le due cose file usando:

cat www_yourdomain_com.crt www_yourdomain_com.ca-bundle > www_yourdomain_com_combine.crt 

Quindi caricare su Parse. Questo dovrebbe risolvere il problema con i browser Android Chrome e Firefox. È possibile verificare che ha funzionato provandola a https://www.sslchecker.com/sslchecker

Answer 10

ho risolto il mio problema con questo comanda:

cat __mydomain_com.crt __mydomain_com.ca-bundle > __mydomain_com_combine.crt 

e dopo:

cat __mydomain_com_combine.crt COMODORSADomainValidationSecureServerCA.crt 
COMODORSAAddTrustCA.crt AddTrustExternalCARoot.crt > mydomain.pem 

E nella mia nginx dominio .conf ho messo su il server 443:

ssl_certificate   ssl/mydomain.pem; 
ssl_certificate_key  ssl/mydomain.private.key; 

Non dimenticare di riavviare il tuo "Nginx"

service nginx restart 

Answer 11

Credo che si dovrebbe installare modulo certificato CA uno se un'autorità galoppo:

ssl_trusted_certificate SSL/SSL_CA_Bundle.pem;

Answer 12

Un modo decente per verificare se v'è un problema nella vostra catena di certificati è quello di utilizzare questo sito web:

https://www.digicert.com/help/

Collegare l'URL di test e vi dirà quello che potrebbe essere sbagliato. Abbiamo riscontrato un problema con lo stesso sintomo di te e il nostro problema è stato diagnosticato come dovuto a certificati intermedi.

SSL Certificate is not trusted

The certificate is not signed by a trusted authority (checking against Mozilla's root store). If you bought the certificate from a trusted authority, you probably just need to install one or more Intermediate certificates. Contact your certificate provider for assistance doing this for your server platform.