google chrome - google - Certificado SSL "err_cert_authority_invalid" solo en dispositivos móviles Chrome

Acabo de pasar la mañana lidiando con esto. El problema no era que me faltara un certificado. Era que tenía un extra.

Comencé con mi ssl.conf que contenía mi clave de servidor y tres archivos proporcionados por mi autoridad de certificación SSL:

# Server Certificate: SSLCertificateFile /etc/pki/tls/certs/myserver.cer # Server Private Key: SSLCertificateKeyFile /etc/pki/tls/private/myserver.key # Server Certificate Chain: SSLCertificateChainFile /etc/pki/tls/certs/AddTrustExternalCARoot.pem # Certificate Authority (CA): SSLCACertificateFile /etc/pki/tls/certs/InCommonServerCA.pem

Funcionó bien en computadoras de escritorio, pero Chrome en Android me dio err_cert_authority_invalid

Después de muchos dolores de cabeza, búsquedas y documentación deficiente, descubrí que era la Cadena de certificados del servidor:

SSLCertificateChainFile /etc/pki/tls/certs/AddTrustExternalCARoot.pem

Eso estaba creando una segunda cadena de certificados que estaba incompleta. Comenté esa línea, dejándome con

# Server Certificate: SSLCertificateFile /etc/pki/tls/certs/myserver.cer # Server Private Key: SSLCertificateKeyFile /etc/pki/tls/private/myserver.key # Certificate Authority (CA): SSLCACertificateFile /etc/pki/tls/certs/InCommonServerCA.pem

y ahora está funcionando en Android nuevamente. Esto fue en Linux con Apache 2.2.

El informe de SSLabs dice:

This server''s certificate chain is incomplete. Grade capped to B. .... Chain Issues Incomplete

Los navegadores de escritorio a menudo tienen certificados de cadena en caché de conexiones anteriores o los descargan de la URL especificada en el certificado. Los navegadores móviles y otras aplicaciones generalmente no lo hacen.

Arregle su cadena incluyendo los certificados faltantes y todo debería estar bien.

Espero que no sea demasiado tarde, esta solución aquí funcionó para mí, estoy usando COMODO SSL, las soluciones anteriores parecen no válidas con el tiempo, mi sitio web lifetanstic.co.ke

En lugar de contactar al Soporte de Comodo y obtener un archivo de paquete de CA, puede hacer lo siguiente:

Cuando obtiene su nuevo certificado SSL de Comodo (por correo), tienen un archivo zip adjunto. Debe descomprimir el archivo zip y abrir los siguientes archivos en un editor de texto como el bloc de notas:

AddTrustExternalCARoot.crt COMODORSAAddTrustCA.crt COMODORSADomainValidationSecureServerCA.crt

Luego copie el texto de cada archivo ".crt" y pegue los textos uno encima del otro en el campo "Paquete de autoridad de certificación (opcional)".

Después de eso, simplemente agregue el certificado SSL como de costumbre en el campo "Certificado" y haga clic en el botón "Autofil por certificado" y presione "Instalar".

Inspirado en esta esencia: https://gist.github.com/ipedrazas/6d6c31144636d586dcc3

Para aquellos que tienen este problema en los servidores IIS.

Explicación : a veces los certificados llevan una URL de un certificado intermedio en lugar del certificado real. Los navegadores de escritorio pueden DESCARGAR el certificado intermedio que falta utilizando esta URL. Pero los navegadores móviles más antiguos no pueden hacer eso. Entonces lanzan esta advertencia.

Necesitas

1) asegúrese de que todos los certificados intermedios sean atendidos por el servidor

2) deshabilite las rutas de certificación innecesarias en IIS: en "Autoridades de certificación raíz de confianza", debe "deshabilitar todos los propósitos" para el certificado que desencadena la descarga.

PD. mi colega ha escrito una publicación de blog con pasos más detallados: https://www.jitbit.com/maxblog/21-errcertauthorityinvalid-on-android-and-iis/

Resolví mi problema con estos comandos:

cat __mydomain_com.crt __mydomain_com.ca-bundle > __mydomain_com_combine.crt

y después:

cat __mydomain_com_combine.crt COMODORSADomainValidationSecureServerCA.crt COMODORSAAddTrustCA.crt AddTrustExternalCARoot.crt > mydomain.pem

Y en mi dominio nginx .conf puse en el servidor 443:

ssl_certificate ssl/mydomain.pem; ssl_certificate_key ssl/mydomain.private.key;

No me olvido de reiniciar tu "Nginx"

service nginx restart

Si eres como yo y estoy usando AWS y CloudFront, aquí te explicamos cómo resolver el problema. es similar a lo que otros han compartido, excepto que no usa el archivo crt de su dominio, solo lo que comodo le envió por correo electrónico.

cat COMODORSADomainValidationSecureServerCA.crt COMODORSAAddTrustCA.crt AddTrustExternalCARoot.crt > ssl-bundle.crt

esto funcionó para mí y mi sitio ya no muestra la advertencia de SSL en Chrome en Android.

Simplemente haga lo siguiente para la versión 44.0.2403.155 dev-m

Privacidad -> Configuración de contenido -> No permitir que ningún sitio ejecute JavaScript

Problema resuelto

Supongo que deberías instalar el certificado CA del formulario uno si la autoridad se centra:

ssl_trusted_certificate ssl / SSL_CA_Bundle.pem;

También tuve un problema con la cadena y logré resolverlo usando esta guía https://gist.github.com/bradmontgomery/6487319

Tuve el mismo problema al alojar un sitio web a través de Parse y al usar un certificado SSL Comodo revendido por NameCheap.

Recibirá dos archivos cert dentro de una carpeta zip: www_yourdomain_com.ca-bundle www_yourdomain_com.crt

Solo puede cargar un archivo en Parse: Parse SSL Cert Input Box

En la terminal, combine los dos archivos usando:

cat www_yourdomain_com.crt www_yourdomain_com.ca-bundle > www_yourdomain_com_combine.crt

Luego sube a Parse. Esto debería solucionar el problema con los navegadores Android Chrome y Firefox. Puede verificar que funcionó probándolo en https://www.sslchecker.com/sslchecker

Tuve el mismo problema, pero la respuesta de Mike A me ayudó a resolverlo: tenía mi certificado, un certificado intermedio (Gandi), otro intermedio (UserTrustRSA) y finalmente el certificado RootCA (AddTrust).

Entonces, primero hice un archivo en cadena con Gandi + UserTrustRSA + AddTrust y lo especifiqué con SSLCertificateChainFile . Pero no funcionó.

Así que probé la respuesta de MikeA simplemente poniendo el certificado AddTruct en un archivo y lo especifiqué con SSLCACertificateFile y eliminé SSLCertificateChainFile. Pero no funcionó.

Así que finalmente hice un archivo en cadena con solo Gandi + UserTrustRSA especificado por SSLCertificateChainFile y el otro archivo con solo el RootCA especificado por SSLCACertificateFile y funcionó.

# Server Certificate: SSLCertificateFile /etc/ssl/apache/myserver.cer # Server Private Key: SSLCertificateKeyFile /etc/ssl/apache/myserver.key # Server Certificate Chain: SSLCertificateChainFile /etc/ssl/apache/Gandi+UserTrustRSA.pem # Certificate Authority (CA): SSLCACertificateFile /etc/ssl/apache/AddTrust.pem

Parece lógico cuando lees, pero espero que ayude.

Una forma decente de verificar si hay un problema en su cadena de certificados es utilizar este sitio web:

https://www.digicert.com/help/

Conecte su URL de prueba y le dirá qué puede estar mal. Tuvimos un problema con el mismo síntoma que usted y nuestro problema se diagnosticó debido a certificados intermedios.

El certificado SSL no es confiable

El certificado no está firmado por una autoridad confiable (verificando en el almacén raíz de Mozilla). Si compró el certificado de una autoridad confiable, probablemente solo necesite instalar uno o más certificados intermedios. Póngase en contacto con su proveedor de certificados para obtener ayuda para hacer esto para su plataforma de servidor.