Problème SSL <Avertissement Utilisateurs non sécurisés, mais SSL appliqué>

Question

Bonjour, nous avons un certificat Wildcard PositiveSSL pour l'URL installée sur le serveur et, à ma connaissance, tout va bien, mais au cours du lancement, nous ont envoyé 100.000 expéditeurs dont jusqu'à présent 20.000 se sont réinscrits, cependant quelques personnes ont été en contact avec des attaques MIM indiquant que le site/l'application n'est pas sécurisé, mais pour autant que nous puissions voir, nous ne recevons aucune notification, et il semble que seules quelques personnes soient (en particulier les utilisateurs de Chrome) certaines mobiles, d'autres basées sur le Web.

Ci-joint est une lecture sur le comodo SSL et tout semble ok bar un petit avertissement, que je ne suis pas sûr nous affecte vraiment car nous avons déjà en place.

https://goo.gl/w6qCHs

Que conseilleriez-vous?

Merci

Answer 1

Pour commencer l'URL que vous avez donné dans ce lien est pas une carte générique certificat de sous-domaine.

Cependant, le problème principal est que vous ne fournissez pas vos certificats intermédiaires.

Un CERT est valide pour un site Web, il est normalement signé par un ou plusieurs certificats intermédiaires, qui sont ensuite signés par un CERT pré-installé et approuvé par les navigateurs Web. Si un navigateur Web ne parvient pas à rétablir une chaîne de confiance, il est déjà au courant de cette erreur.

Un serveur Web peut fournir le certificat de site Web ou le certificat de site Web ET les certificats intermédiaires. Ce dernier est normalement recommandé car il aide les navigateurs à construire rapidement la chaîne de confiance. Certains navigateurs peuvent avoir par défaut des certificats intermédiaires dans leurs magasins de confiance, ils peuvent déjà les avoir s'ils ont visité un site qui les utilise ou pourraient même essayer de télécharger automatiquement des certificats intermédiaires, mais cela n'est pas garanti.

Tout cela peut être vu en exécutant votre site Web à travers le ssllabs.com server test. Cela montre le même "petit avertissement", la chaîne complète de confiance (en fait deux chaînes sont possibles pour votre site mais toujours mieux d'installer les intermédiaires qui permettent la chaîne la plus courte), et beaucoup d'autres informations utiles sur votre configuration SSL semble très bon en dehors de ce problème de certificat intermédiaire manquant).

La configuration de votre serveur Web pour renvoyer le certificat intermédiaire dépend de votre serveur. On dirait que vous exécutez nginx (c'est une bonne idée de désactiver les en-têtes HTTP du serveur qui donnent des informations sur le logiciel, mais c'est une question distincte). Normalement, vous concatèez simplement les certificats intermédiaires et serveurs dans un fichier .crt fichiers texte avec des informations cert codées). Pour plus d'informations, voir ici: http://nginx.org/en/docs/http/configuring_https_servers.html#chains.

Notez que vous pouvez également configurer trop de certificats sur votre serveur. Quel est l'effort gaspillé. Le CERT racine n'est pas nécessaire par exemple car ce sera dans le navigateur. Retester en utilisant ssllabs.com après avoir réparé pour confirmer tous les regards bien.