loc 服务器发的证书链信任锚过期了-全球主机交流-

  • Post author:
  • Post category:hostloc
  • Post comments:0评论
  • Post last modified:六月 1, 2020

起因:
还是上个月有mjj发帖说loc被Chrome提示危险,看过一遍证书链发现loc发的证书链有问题
用 OpenSSL 拉取 www.hostloc.com:443 的完整证书链,结果如下:
www.hostloc.com — Sectigo RSA Domain Validation Secure Server CA — USERTrust RSA Certification Authority — AddTrust External CA Root
本来,USERTrust RSA Certification Authority 很早就取得了信任锚(即自签证书已经作为系统根证书内置),但它同时又有2个根证书给他背书(使得老旧系统兼容),其中之一就是 AddTrust External CA Root
AddTrust External CA Root
过期日期 2020/05/30
在Namecheap申请证书,他会发送三级证书链,最下面一条的公钥即USERTrust RSA Certification Authority ,但它指向的签发者是AddTrust External CA Root,这样证书链变成了前述四级,信任锚转移到已经过期的AddTrust External CA Root
出现此类问题,一般的浏览器会修正证书链,即将信任锚取向最晚过期的证书,但兼容性不强,还有些浏览器不会这么做(今天Via和我的Kindle体验版浏览器就报错)
————
下面是建议:
使用 Comodo/Sectigo 证书且证书链包含USERTrust RSA Certification Authority的,将证书链改为 example.com — Sectigo RSA Domain Validation Secure Server CA (也可能是其它的)— USERTrust RSA Certification Authority(信任锚公钥,不是中间信任公钥,签发者是他自己,链接https://censys.io/certificates/e793c9b02fd8aa13e21c31228accb08119643b749c898964b1746d46c3d4cbd2/pem)

Syc1天前-2楼
谁@一下C大,萌新不敢问

楼主 iks1天前-3楼
还有哈,MySSL.com 扫 www.hostloc.com 证书,发的居然是

主题信息通用名称(CN) www.hostloc.com签发者信息通用名称(CN) AlphaSSL CA – SHA256 – G2组织(O) GlobalSign nv-sa国家(C) BE

这张(签两张RSA……)

h201天前-4楼
什么年代了,还要解析CA链的浏览器都是辣鸡,OCSP解千愁

楼主 iks1天前-5楼

h20 发表于 2020-5-31 18:23什么年代了,还要解析CA链的浏览器都是辣鸡,OCSP解千愁

现在浏览器一般都能自寻信任链,缺中间证书都没事(叶子证书有 oid 1.3.6.1.5.5.7.48.2 就能建立证书链)

citywar1天前-6楼
围观一下 经常有人说过期

Cllp1天前-7楼

    1 Sent by server www.hostloc.comFingerprint SHA256: f98965f2fd36fe37dbcd30221ae2f7ddb2ff9c4b1aacc0a485185d7c1ab3a0f8Pin SHA256: +lJvPOvHZMJfgI40nC2TVeVbhJ7IYP3uesBYFGoh8b4=RSA 2048 bits (e 65537) / SHA256withRSA2 Sent by server AlphaSSL CA – SHA256 – G2Fingerprint SHA256: ee793643199474ed60efdc8ccde4d37445921683593aa751bbf8ee491a391e97Pin SHA256: amMeV6gb9QNx0Zf7FtJ19Wa/t2B7KpCF/1n2Js3UuSU=RSA 2048 bits (e 65537) / SHA256withRSA3 Sent by serverIn trust store GlobalSign Root CA Self-signed Fingerprint SHA256: ebd41040e4bb3ec742c9e381d31ef2a41a48b6685c96e7cef3c1df6cd4331c99Pin SHA256: K87oWBWM9UZfyddvDfoxL+8lpNyoUB2ptGtn0fv6G2Q=RSA 2048 bits (e 65537) / SHA1withRSAWeak or insecure signature, but no impact on root certificate

根证书都发了楼主 iks1天前-8楼

Cllp 发表于 2020-5-31 18:35根证书都发了

什么环境下拉得到Alpha签的这张(3#),反正我本地拉的还是 Sectigo 签的那张nnt1天前-9楼
前排围观技术贴 Cllp1天前-10楼

iks 发表于 2020-5-31 18:38什么环境下拉得到Alpha签的这张(3#),反正我本地拉的还是 Sectigo 签的那张 …

我这边手机是 Sectigo 电脑是Alphamicto1天前-11楼
问问D屌看看@domin夏渔1天前-12楼
我这手机是alpha楼主 iks1天前-13楼

Cllp 发表于 2020-5-31 18:43我这边手机是 Sectigo 电脑是Alpha

我这边手机 Alpha,电脑 SectigoTg bot 小埋拉取的也是 Alphagcp1天前-14楼
https://testsites.test.certificatetest.com/某猫猫1天前-15楼
怪不得今天连上jsdelivr 都翻车 还以为出了什么大事

发表评论