我们最近更新了我们的Nginxnetworking服务器的Thawte SSL证书。 以前,我们一直使用SHA1作为签名algorithm,但是这次使用了SHA256,这导致了一个新的根证书,称为“thawte Primary Root CA-G3”(这可以在他们的网站上find – 没有足够的代表来发布链接)。
自推出以来,我们开始从使用OS X的客户那里获取有关在浏览到https页面时出现错误“此证书由未知权威机构签名”的调用。
Thawte的证书检查器非常满意我们安装的证书链: https : //ssltools.thawte.com/checker/views/certCheck.jsp (我们有我们的证书,以及pem文件中的“thawte扩展validationSHA256 SSL CA”中间)
经过testing,我们发现在OS X操作系统上所有版本的Safari,Opera和Chrome下都会出现错误。 Firefox在OS X下是可以的(我相信它附带了它自己的证书信任存储)。 所有的浏览器在Windows下似乎都没问题。
当我们检查OS X访问密钥链时,我们发现安装了基本的CA – G3 WAS,但不知怎的,浏览器没有pipe理完成链。
这是一个testing网站(不是我们的)使用相同的中间和根在OS X下显示完全相同的症状:
https://ssltest8.bbtest.net/
任何人都可以解释为什么OS X默认情况下在安装在OS X 10.9的访问密钥链中时不会将该网站的根CA认定为受信任?
刚刚通过聊天和Thawte支持发言,他们已经证实这是一个问题和一个开放案例W /苹果(2014年7月31日以来)在这个问题上。 到目前为止还没有答复/ ETA的修复。
2014年9月17日,主根CA – G3(具有SHA-256签名的中间产品)仍未被最新的Mac操作系统接受。
Thawte提交了一个Apple Bug编号17095623,以便让他们解决这个问题。