¿Esta cadena de certificados SSL está rota y cómo solucionarla?

Para el certificado SSL en el dominio example.com, algunas pruebas me dicen que la cadena está incompleta y dado que Firefox mantiene su propio almacén de certificados, podría fallar en Mozilla ( 1 , 2 , 3 ). Otros me dicen que está bien , al igual que Firefox 36, que me dice que la cadena de certificados está bien.

ACTUALIZACIÓN: Probé en Opera, Safari, Chrome e IE en Windows XP y MacOS X Snow Leopard, todos funcionan bien. Solo falla en Firefox <36 en ambos sistemas operativos. No tengo acceso para probar en Linux, pero para este sitio web es menos del 1% de los visitantes, y la mayoría son probablemente bots. Entonces, esto responde a las preguntas originales "¿esta configuración muestra advertencias en Mozilla Firefox o no" y "¿Esta cadena de certificados SSL está rota o no?".

Por lo tanto, la pregunta es ¿cómo puedo saber qué certificados necesito colocar en el archivo ssl.ca para que Apache pueda servirlos para evitar que Firefox <36 se atragante?

PD: Como nota al margen, el Firefox 36 que utilicé para probar el certificado era una instalación completamente nueva. No hay posibilidad de que no se quejara porque había descargado un certificado intermedio durante una visita previa a un sitio que usa la misma cadena .

Si la cadena es suficiente depende del almacén de CA del cliente. Parece que Firefox y Google Chrome han incluido el certificado para la "Autoridad de certificación COMODO RSA" a finales de 2014. Para Internet Explorer, probablemente depende del sistema operativo subyacente. Es posible que la CA aún no se incluya en las tiendas de confianza utilizadas por los no navegadores, es decir, rastreadores, aplicaciones móviles, etc.

En cualquier caso, la cadena no es completamente correcta, como se puede ver en el informe de SSLLabs :

• Una ruta de confianza necesita que el navegador confíe en la nueva CA. En este caso, todavía envía la nueva CA, que está mal, porque las CA de confianza deben estar integradas y no deben estar incluidas en la cadena.
• La otra ruta de confianza está incompleta, es decir, necesita una descarga adicional. Algunos navegadores como Google Chrome realizan esta descarga, mientras que otros navegadores y no navegadores esperan que todos los certificados necesarios estén contenidos dentro de la cadena enviada. Por lo tanto, la mayoría de los navegadores y aplicaciones que no tienen la nueva CA incorporada fallarán con este sitio.

Me puse en contacto con Comodo y descargué un archivo bundle.crt de ellos. Lo renombré a ssl.ca, según la configuración de este servidor, y ahora el certificado pasa todas las pruebas. El Chain issues = Contains anchoraviso no es un problema (ver más abajo).

SSL Labs, ampliamente considerado como la prueba más completa, ahora muestra Chain issues = Contains anchor, mientras que antes solía mostrar Chain issues = None(mientras que los otros mostraron un problema con la cadena). Esto realmente no es un problema ( 1 , 2 ), aparte de 1kB adicional que el servidor envía al cliente.

Mi conclusión

1. Ignore la prueba de SSL Labs donde dice Chain issues = Contains anchorO elimine el certificado raíz del archivo de paquete (consulte este comentario a continuación).

2. Siempre realizar una prueba secundaria en al menos uno de los otros tres sitios de prueba ( 1 , 2 , 3 ) para asegurar su cadena es muy bien cuando los laboratorios SSL dice Chain issues = None.