我们有一个网站使用来自thwarte的签名证书,我们对多个检查工具的证书有一个评级。
但是,我们有一个用户抱怨说,她的浏览器不信任该证书。
我向老板解释说,用户最有可能拥有一个浏览器
我可以保证说这个吗? 我强调,因为它是一个大客户,但我可以说100%authentication是在大范围的testing下安装,validation和接受的。
我只需要一个健全的检查,还有什么我可以失踪?
浏览器可以通过有趣的方式build立回CA的证书链接。
通常,您的服务器将提供站点证书,而中间证书和大多数浏览器应该能够将该中间件链接回其信任存储区中的CA.
有几个需要注意的问题,但是在你的问题的场景中没有涉及:
如果从证书到CA有多条path,那么浏览器可能会select一个不同的path,如果它的caching中已经有一个path(例如,如果一个访问者访问了Thwate发布的另一个带有证书的网站)。 在这种情况下,它甚至可以忽略服务器返回的中间证书,因为它认为它有一个更好的path。 这导致Sha-1到Sha-256升级的问题,因为当使用Sha-1中间体时,例如如果CA不重新发布Sha-256格式的中间证书而没有创build独立的证书,就会使用Sha-1中间体。 你需要一个证书path的截图,以确保这一点。
我发现Chrome最近无法validation代理服务器后面的EV证书,因为它无法检查撤销状态(这是EV证书所必需的)。 这会在地址栏中产生一个红色的HTTPS符号,但并不能解释为什么:-(最新版本的Chrome在开发人员工具中给出了一个安全选项卡,它解释了这一点。请注意,为什么会出现这种错误,一个代理,询问是否只是针对Chrome的问题,如果是这样的话,请求开发者工具 – >安全选项卡的屏幕截图https://www.thwate.com目前在我的公司电脑上显示红色,因为这个原因具有讽刺意味的是!
可能正在MITMing你的连接(在企业环境中又常见)。 这涉及到replace您的证书与虚拟的本地可能有问题的一个。 证书链的截图也应该在这里帮助。
这绝对是一个证书错误? 而不是一个红色的HTTPS符号由于其他原因(例如不安全的内容)? 受影响的浏览器和版本可能会帮助debugging(例如,如果通过http意外载入旧版IE的额外库,并且您还没有在一段时间内自行testing过)。
这就是我现在所能想到的。