web-dev-qa-db-fra.com

Certificat SSL Comodo non valide sur Android Appareils

Je gère un site Web sur lequel j'ai un cpanel complet et un accès limité. J'ai récemment mis à niveau l'un de mes domaines pour inclure SSL (une première expérience pour moi).

Les certificats sont installés dans cpanel, et notre joyeux petit cadenas s’affiche à présent. Cela fonctionne parfaitement sur les ordinateurs de bureau (tous les navigateurs), les iphones et certains autres téléphones, mais une sélection de Android les périphériques déclarent que le certificat du serveur n'est pas approuvé.

J'ai fait des tests sur:

Le vérificateur de Comodo a déclaré "Non (certificat auto-signé dans la chaîne de certificats)"

Geocerts indique " Un certificat d'autorité de certification racine valide n'a pas pu être localisé, le certificat affichera probablement les avertissements du navigateur. "

SSLChecker dit que la chaîne va bien.

Symantec dit que la chaîne va bien.

J'ai effectué des recherches sur le net. Une source non-Apache en dit long sur la fusion de tous les fichiers .crt et son installation sur votre serveur, mais je ne suis pas sûr que cela s'applique également aux serveurs Apache?

J'ai COMODO:

AddTrustExternalCARoot.crt
COMODORSAAddTrustCA.crt
COMODORSAOrganizationValidationSecureServerCA.crt
mydomain.crt

J'aimerais toute aide de la part de personnes qui savent de quoi elles parlent au sujet de moi qui invente cela au fur et à mesure que je progresse :(

httpscpanelsecurity-certificate
7
Gimboid

Le problème ici est simplement que le certificat est lié à la racine à l'autorité de certification COMODO RSA, et non à AddTrustExternalCARoot. Les appareils Android ne disposent pas de l'autorité de certification COMODO RSA dans leurs magasins racine, uniquement de AddTrustExternalCARoot.

Si vous exécutez IIS, vous devez supprimer et supprimer COMODORSACertificateAutority dans le magasin racine sur le serveur Web et l'installer dans le magasin intermédiaire. Sur Apache ou autres, vous devez définir la chaîne correctement dans le fichier de chaîne.

4
Rofl

Contrôle de votre certification SSL sur votre site Web, je peux confirmer que vous avez utilisé les bons fichiers inclus dans le fichier fourni par Comodo ,

Pour les autres lecteurs, les fichiers Comodo SSL PositiveSSL/EssentialSSL, 2 requis par cPanel ou WHM sont les suivants:

  • example.crt (Main Cert)
  • COMODORSAOrganizationValidationSecureServerCA.crt (CABundle)
  • example.key (fichier de clé fourni lors de la génération du CSR)

Problème d'adresse, peut-être ...

Cependant, même si je n’étais pas un problème de gestionnaire, j’avais l’intention de partager avec vous mes premières découvertes qui pourraient avoir un léger impact sur les classements locaux avec certains moteurs de recherche majeurs, principalement Google, après tout, depuis que vous utilisez SSL, je suppose que l’un de vos les avantages du référencement, de toute façon ...

[important that ssl matches]

Si vous ne le saviez pas déjà, Google utilise un algorithme de référencement local qui diffère de son classement organique normal. L'un des plus importants facteur de référencement local s est SIESTE cohérence, et si vous regardez l'image ci-dessus, vous pouvez voir que l'adresse sur Google n'est pas une correspondance exacte, bien que nous ne puissions pas dire avec certitude que Google s'en soucie. À propos de la correspondance d'adresse dans le SSL, nous faisons maintenant que NAP la cohérence partout ailleurs est importante, car cela est sous votre contrôle, c'est une solution facile.

Je vous recommande de recréer votre demande de signature, suivez mon article de blog si vous avez besoin d'un rappel, étape 1 (depuis le reste est WHM lié). En outre, je supprimerais le nom de UNIT en tant que "formation" car, à moins que celui-ci ne soit enregistré dans l'adresse, ou ailleurs, un enregistrement limité sur gov.uk puis le laisser de côté, utilisez uniquement UNIT si l'organisation est énorme.

Si le protocole SSL contient les informations correctes mais que Google est incorrect, je vous recommande de le corriger. Une fois encore, la cohérence est essentielle, assurez-vous que toutes vos citations correspondent exactement. Essayez également d’éviter de perdre la LTD dans le nom de la société sur des sites externes et n’oubliez pas de vérifier votre cohérence NAP sur le registraire de la société à l’adresse gov.uk/business puisque cette citation tiendra beaucoup de poids. Idéalement, le NAP doit contenir le nom complet de l'entreprise, y compris la LTD, son adresse, l'adresse enregistrée sur Royal Mail et le numéro de téléphone principal "local".

Quoi qu’il en soit, il s’agit du référencement non local SSL, c’est assez dit, passons….

Problèmes principaux avec le CERT SSL

Actuellement, vous rencontrez des problèmes majeurs côté serveur qui doivent être résolus. Il est actuellement inutile de disposer du protocole SSL avec les vulnérabilités exploitables du serveur. Ces points sont les suivants:

  • Ce serveur prend en charge les suites anonymes (non sécurisées) (voir ci-dessous pour plus de détails). Grade réglé sur F.
  • Ce serveur prend en charge les paramètres d’échange de clé Diffie-Hellman (DH) faibles. Grade plafonné à B.
  • Ce serveur accepte le chiffrement RC4, qui est faible. Grade plafonné à B.
  • Le serveur ne prend pas en charge le secret de transfert avec les navigateurs de référence.

Celles-ci peuvent être à l'origine du problème sur Android, mais sinon, elles doivent être résolues. Il est assez courant que les sociétés d'hébergement Web soient paresseuses lorsqu'il s'agit d'appliquer des correctifs contre SSL. En fait, je le rencontre régulièrement chaque semaine. Si vous rencontrez des problèmes, trouvez un nouvel hôte, ce n'est pas acceptable, la sécurité est l'une des caractéristiques les plus importantes d'un site Web. Hôte. Ne vous contentez d'aucune autre qualité qu'un A- ou A + de qualité Vérificateur SSL de Qualys Labs .

Si la résolution de ce qui précède ne résout pas le problème, cela est probablement dû au CERT SSL lui-même, sur un ancien téléphone Android, car tous les CERTS SSL ne sont pas identiques, certains prennent en charge davantage de téléphones/ordinateurs et de systèmes d'exploitation différents. . Généralement, plus le SSL est cher, plus la compatibilité est bonne, je n'ai jamais rencontré de problème avec Android, même avec des SSL bon marché.

Personnellement, je résoudrais les problèmes mentionnés, puis le testerais, mais assurez-vous de le tester sous plus d'un Android et obtenez si possible la version Android, car ils diffèrent considérablement en termes de prise en charge du navigateur.

0
Simon Hayter