[Techinfo] Let's Encrypt

Hambuch Gabor hambuch at w5.hu
2017. Dec. 6., Sze, 20:21:19 CET


2017-12-06 19:52 keltezéssel, Molnár Péter írta:
> Hello!
> Pontositok:
> A mukodo gepen ez van a Firefox tanusitvanykezelojeben:
> Digital signature Trust co.
> - DST Root CA X3
> - Let's Encrypt Authority X3
> 
> A nem mukodon:
> Digital signature Trust co.
> - DST Root CA X3

Az intermediate tanúsítványok (ami az domainre kiállított cert és a 
gyökér tanúsítvány között van) visszaadása a jól beállított webszerver 
dolga. Ha eddig része volt ez az intermediate cert a firefox 
tárolójának, és ez után nem az, akkor is helyesen kell működnie, ha a 
tanúsítványláncot végig tudja ellenőrizni a böngésző a gyökérig, és a 
gyökértanúsítvány pedig szerepel benne. A fizetős certeknél is mindig 
mellékelni szokták az ilyen intermediate tanúsítványokat a CA-k.

Először nézd meg, hogy a webszerver visszaadja-e a köztes 
tanúsítványokat. Pl ezzel az oldallal ellenőrizhető: 
https://www.ssllabs.com/ssltest/
Ha nem, és a te felügyeleted alatt van a webszerver, akkor állítsd be, 
hogy a chain-*.pem -et is használja (apache esetén SSLCACertificateFile 
a kulcsszó), vagy eleve a fullchain-*.pem-et használd a cert-*.pem 
helyett, ami tartalmazza a cert és a chain certeket együtt.
Ha nem te vagy az oldal gazdája, akkor hívd fel a tulaj figyelmét erre.

-- 
Hambuch Gábor
hambuch at w5.hu


További információk a(z) Techinfo levelezőlistáról