내 사이트 ( https://www.snipsalonsoftware.com/) 의 SSL 인증서가 Android에서 작동하지 않습니다. 이 문제를 해결하기 위해 내 사이트를 Qualys SSL Labs 테스트 도구에 연결했습니다.
https://www.ssllabs.com/ssltest/analyze.html?d=www.snipsalonsoftware.com&s=50.57.181.104
이 보고서는 내가 "체인 문제"를 가지고 있다고 말합니다. "불완전한"것입니다. 그러나 나는 불완전한 것을 정확히 이해하는 데 어려움을 겪고 있습니다.
다음 섹션의 "인증 경로"에서 주황색으로 표시됩니다 (그리고 주황색은 "kinda bad"를 의미합니다) "추가 다운로드". 이것이 무엇을 의미하는지 또는 어떻게 고쳐야할지 모르겠습니다. 이 스레드를 찾았 지만 그들이 말하는 내용을 솔루션으로 변환하는 방법을 말할 수 없습니다.
어떻게해야합니까?
답변:
인증서를 브라우저로만 보내도록 서버를 구성했습니다. 대부분의 데스크톱 브라우저에는 이미 많은 중간 및 루트 CA 세부 정보가 포함되어있어 신뢰 체인을 쉽게 구성 할 수 있기 때문에 좋습니다. 대부분의 모바일 브라우저의 경우 일반적으로 전체 인증서 체인, 즉 자체 인증서, 발급 CA의 인증서 체인 및 해당 루트 CA와 최종 루트 CA 사이에 존재할 수있는 중간체를 제공해야합니다. 모바일 장치에는이 시나리오에서만 루트 CA 세부 정보가있을 수 있습니다.
특정 인증서에 대해서는이 Comodo 헬프 데스크 기사 ( 기술 자료 : Comodo 인증 기관> 인증서> SSL> 인증서 설치)를 읽을 수 있습니다 .
인증서에는 발급자의 인증서에 대한 URL이 있는 특수 기관 정보 액세스 확장 ( RFC-3280 )이 포함될 수 있습니다 . 대부분의 브라우저는 AIA 확장을 사용하여 누락 된 중간 인증서를 다운로드하여 인증서 체인을 완료 할 수 있습니다. 그러나 일부 클라이언트 (모바일 브라우저, OpenSSL)는이 확장을 지원하지 않으므로 이러한 인증서를 신뢰할 수없는 것으로보고합니다.
이러한 문제를 방지하기 위해 인증서의 모든 인증서를 신뢰할 수있는 루트 인증서 (이 순서는 제외)로 연결 하여 불완전한 인증서 체인 문제를 수동으로 해결할 수 있습니다 . 신뢰할 수있는 루트 인증서는 시스템의 루트 인증서 저장소에 이미 포함되어 있으므로 존재하지 않아야합니다.
발급자로부터 중간 인증서를 가져 와서 직접 연결할 수 있어야합니다. 절차를 자동화하는 스크립트를 작성했으며 AIA 확장을 반복하여 올바르게 연결된 인증서의 출력을 생성합니다. https://github.com/zakjan/cert-chain-resolver
Go