Apache работает с новым и старым корневым сертификатом SSL

Milan

21.06.2023, 13:10

Я размещаю веб-сайт на https://www.tabletop.cloud

Некоторое время назад я перешел с Корневой ЦС DST X3 корневой сертификат на Корень ISRG X1 сертификат. Когда я захожу на свой веб-сайт в каждом браузере, сертификат SSL работает как обычно (см. изображения 1 и 2 ниже).

Однако у меня есть iPad, который отказывается использовать новый сертификат и по какой-то причине получает недавно подписанную версию сертификата. Корневой ЦС DST X3 сертификат. (См. ниже изображение 3, снимок экрана, сделанный с помощью приложения TLS spector)

Я проверил, принимает ли iPad другие веб-сайты с Корень ISRG X1 сертификат, и он делает это без проблем.

Я также пытался удалить сертификаты и позволить acme.sh генерировать новые с нуля. (Однако я не удалял файлы конфигурации в /root/.acme.sh/tabletop.cloud потому что я не был уверен, смогу ли я сделать это безопасно)

Я действительно сбит с толку, потому что не думал, что можно предоставить разные сертификаты SSL на основе платформы/браузера (?).

Я использую:

Апач 2.4.41
acme.sh для шифрования запросов сертификатов

0 + 0

ssl-сертификат

апач-2.4

позволяет шифровать

Bob

21.06.2023, 13:44

На первый взгляд я вижу, что ваш сервер отправляет только подписанный сертификат сервера, а не промежуточный/цепной сертификат(ы). Это может быть причиной того, что вещи ломаются. Рассмотрите возможность использования версии `fullchain` вместо только сертификата в вашей конфигурации Apache SSL.

Ответить

Milan

21.06.2023, 15:07

Интересно, я заметил это в тесте SSL Labs. Я попробую это, спасибо!

Ответить

Milan

21.06.2023, 15:34

@Bob Ты герой, это решило проблему! Если вы добавите это как ответ, я приму его, когда смогу!

Ответить

Рейтинг:1

Server

Bob

22.06.2023, 08:03

Благодарим вас за указание фактического доменного имени. На первый взгляд я вижу, что ваш сервер отправляет только подписанный сертификат сервера, а не промежуточный/цепной сертификат(ы). Это может быть причиной того, что вещи ломаются.

Рассмотрите возможность использования пакета сертификатов «fullchain» в вашем SSLcerificateFile вместо только сертификата сервера в вашей конфигурации Apache SSL или, в качестве альтернативы, добавьте SSLCertificateChainFile с сертификатами ЦС, которые выдали/подписали сертификат вашего сервера.

0 + 0

Admin

Этот вопрос на других языках:

EN: Apache serves with new and old SSL Root certificate

TH: Apache ให้บริการด้วยใบรับรอง SSL Root ทั้งเก่าและใหม่

RO: Apache servește cu certificat SSL Root nou și vechi

RU: Apache работает с новым и старым корневым сертификатом SSL

VI: Apache phục vụ với chứng chỉ SSL Root mới và cũ

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.