一部のモバイルユーザーのSSLセキュリティエラー

Question

最近私のウェブサイトarvandkala.irをhttpsに移動しました。 問題は、一部のユーザー（特にモバイル）がSSL pravicy Error のユーザーモバイルクロックが正常であることです。 にはウェブサイト上のデータがありません。 Firefoxのエラーコードは：

SEC_ERROR_UNKNOWN_ISSUER 

発行者はCertumとFirefoxに信頼されています。

Answer 1

TLDR：それはあなたがCAから正しいチェーン証明書を取得して、サーバーにそれを設定する必要があります

証明書チェーンです。

通常、CAはサーバー証明書を購入または取得したときに正しいチェーン証明書（または複数の証明書が複数）を提供し、チェーン証明書（通常は複数）をWebサイトで利用できますが、ポーランド語で、あなたのCAの顧客を知らないcertum.pl私はこれらのアプローチに対処できません。最近の一般的な方法は、AuthorityInfoAccess拡張子のcaIssuers属性で証明書自体が親証明書を取得する方法を指定することです。これは、（少なくとも）デスクトップブラウザ、OpenSSL（x509 -noout -text -in $file）、Javaキーツール（-printcert -v -file $file）を含む多くのツールで見ることができ、証明書にはhttp://repository.certum.pl/dvcasha2.cerを指しています。そのURLをコンテンツを解釈しないツール（ブラウザではなく、curl wget perl pythonやjavascriptなど）で取得すると、DER形式の正しい証明書が得られます。

サーバーの構成は、識別していないサーバーによって大きく異なります。あなたのサーバは応答でServer: Apache/2.4.7 (Ubuntu)と識別しますが、他のターミネータが前にあるため、攻撃者を（あまり）あいまいにするか、間違ってしまうかと思う人がいるので、これは改ざんされる可能性があります。本当の場合、他の可能性はありますが、共通のデフォルト値はmod_sslと仮定します。 documentation for Apache 2.4 mod_sslは、Apacheウェブサイトのdocs/2.4/modules/mod_sslにあります。このページでは2.4.8について説明していますので、SSLCertificateFileで指定されたファイルにサーバー証明書を含むPEM形式のチェーン証明書を含めることができますが、その代わりに両方をSSLCertificateChainFileで指定されたファイルに配置する必要があります。この設定（チェインとプライベートキーを含む証明書）は、仮想ホストごとにすることができます。あるいは、異なるものにする必要がない場合は、グローバルにすることができます。 Ubuntuでは通常の練習（必須ではありません）は、各仮想ホストの設定を別のファイルに入れて/etc/apache2/sites-availableとし、それをの下にリンクします。

CAから取得した証明書がDER形式であるため、まずPEM形式に変換する必要があります。これはOpenSSLによって直接openssl x509 -inform der -in $derfile -out $pemfileで、またはDER形式をインポートしてPEM形式（少なくともWindows、Firefox/NSS、Javaを含む）を書き出すことができる他の多くのプログラムによって直接行うことができます。