Рейтинг:0

Apache работает с новым и старым корневым сертификатом SSL

флаг id

Я размещаю веб-сайт на https://www.tabletop.cloud

Некоторое время назад я перешел с Корневой ЦС DST X3 корневой сертификат на Корень ISRG X1 сертификат. Когда я захожу на свой веб-сайт в каждом браузере, сертификат SSL работает как обычно (см. изображения 1 и 2 ниже).

Однако у меня есть iPad, который отказывается использовать новый сертификат и по какой-то причине получает недавно подписанную версию сертификата. Корневой ЦС DST X3 сертификат. (См. ниже изображение 3, снимок экрана, сделанный с помощью приложения TLS spector)

Я проверил, принимает ли iPad другие веб-сайты с Корень ISRG X1 сертификат, и он делает это без проблем.

Я также пытался удалить сертификаты и позволить acme.sh генерировать новые с нуля. (Однако я не удалял файлы конфигурации в /root/.acme.sh/tabletop.cloud потому что я не был уверен, смогу ли я сделать это безопасно)

Я действительно сбит с толку, потому что не думал, что можно предоставить разные сертификаты SSL на основе платформы/браузера (?).

Я использую:

  • Апач 2.4.41
  • acme.sh для шифрования запросов сертификатов

введите описание изображения здесьвведите описание изображения здесь введите описание изображения здесь

флаг cn
Bob
На первый взгляд я вижу, что ваш сервер отправляет только подписанный сертификат сервера, а не промежуточный/цепной сертификат(ы). Это может быть причиной того, что вещи ломаются. Рассмотрите возможность использования версии `fullchain` вместо только сертификата в вашей конфигурации Apache SSL.
Milan avatar
флаг id
Интересно, я заметил это в тесте SSL Labs. Я попробую это, спасибо!
Milan avatar
флаг id
@Bob Ты герой, это решило проблему! Если вы добавите это как ответ, я приму его, когда смогу!
Рейтинг:1
флаг cn
Bob

Благодарим вас за указание фактического доменного имени. На первый взгляд я вижу, что ваш сервер отправляет только подписанный сертификат сервера, а не промежуточный/цепной сертификат(ы). Это может быть причиной того, что вещи ломаются.

Рассмотрите возможность использования пакета сертификатов «fullchain» в вашем SSLcerificateFile вместо только сертификата сервера в вашей конфигурации Apache SSL или, в качестве альтернативы, добавьте SSLCertificateChainFile с сертификатами ЦС, которые выдали/подписали сертификат вашего сервера.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.