Perché il mio certificato SSL non è affidato a Android?

Il certificato SSL è attendibile nella maggior parte dei computer desktop, ma solo su alcuni dispositivi Android. Tuttavia, anche su dispositivi Android in cui il certificato non è attendibile, viene installato il certificato radice.

Devo aver provato un modo per risolvere questo problema, ma penso che abbia a che fare con la Root CA esterna AddTrust (forse con l'impronta digitale SHA-256 , che manca?).

  • La causa non sembra essere un errato certificato Bundle del certificato.
  • La causa non sembra essere legata al tempo.
  • Tutti gli strumenti di controllo SSL online che ho usato (ad esempio, https://www.ssllabs.com ) dicono che il certificato SSL è installato correttamente.
  • Il certificato di origine si trova sul mio dispositivo Android e sul mio computer desktop (vedere l'impronta digitale SHA1 nelle due schermate, identica).

Il certificato di root è installato su Android. Il certificato di root è installato sul mio desktop.

EDIT 1

Credo di aver incluso il nuovo certificato di intermediazione nella mia catena di certificati, ma i laboratori SSL continuano a segnalare che non è presente (anche dopo aver cliccato sul button "Cancella cache").

Aggiornamento browser include la nuova catena di certificati SSL. L'aggiornamento SSLLabs non vede la nuova catena di certificati SSL.

EDIT 2

Per essere esplicito su quello che ho fatto:

  1. Ho eseguito l'accesso a WHM e ho cliccato sull'opzione "Installa un certificato SSL su un dominio".

  2. Ho inserito il nome di dominio "www.angusaustralia.com.au".

  3. Ho inserito l'indirizzo IP "27.124.127.2".

  4. Ho inserito il certificato rilasciato a me.

 ----- BEGIN CERTIFICATE -----
 MIIFnDCCBISgAwIBAgIRAP / vaD7B7JaVJvqC2H7jiDcwDQYJKoZIhvcNAQELBQAw
 gZMxCzAJBgNVBAYTAlVTMRMwEQYDVQQIEwpOZXcgSmVyc2V5MRQwEgYDVQQHEwtK
 ZXJzZXkgQ2l0eTEeMBwGA1UEChMVVGhlIFVTRVJUUlVTVCBOZXR3b3JrMTkwNwYD
 VQQDEzBVU0VSVHJ1c3QgUlNBIERvbWFpbiBWYWxpZGF0aW9uIFNlY3VyZSBTZXJ2
 ZXIgQ0EwHhcNMTYwNjI3MDAwMDAwWhcNMTcwNjI3MjM1OTU5WjCBhzEhMB8GA1UE
 CxMYRG9tYWluIENvbnRyb2wgVmFsaWRhdGVkMScwJQYDVQQLEx5Ib3N0ZWQgYnkg
 Q3JhenkgRG9tYWlucyBGWi1MTEMxFTATBgNVBAsTDEVzc2VudGlhbFNTTDEiMCAG
 A1UEAxMZd3d3LmFuZ3VzYXVzdHJhbGlhLmNvbS5hdTCCASIwDQYJKoZIhvcNAQEB
 BQADggEPADCCAQoCggEBALbDVHckJORMdY0 / ygZqo0jjI02E883VpyL0RCeq7wuI
 wkCWys3L1v6ZjW45wBEbsYGwpZMV3 / IdXYTc5cO5ke4bYnXP4y5NbteVvNOQi1sX
 FMf8DlpJ + K0ZRcWQVIpsSIRRslXUPw4PWu27Q6Sgp1JuVa2YhXu7hSshIrIhkslT
 Bx / IL67ZZfwo3wpMoig271yGHT4y1KAz9BfLTqVftL8n7uCKYFj3vo5E44czqSRl
 wYdQgSOLUc1G7jt33fCV8t + hXbKR0WdutTwdBQfftp2ZCSYwKCgCl3yDSLnqbbI +
 8GdFuLM4c1ZZwbFfJiKSZ5qDBg0IeODgIRdxSDmirDECAwEAAaOCAfMwggHvMB8G
 A1UdIwQYMBaAFKbB5 + H09kdj1y99jZD4uiNPYKyeMB0GA1UdDgQWBBRbjv4H + SED
 CnGTcCoBdTIGeUPOOjAOBgNVHQ8BAf8EBAMCBaAwDAYDVR0TAQH / BAIwADAdBgNV
 HSUEFjAUBggrBgEFBQcDAQYIKwYBBQUHAwIwTAYDVR0gBEUwQzA3BgwrBgEEAbIx
 AQIBAwQwJzAlBggrBgEFBQcCARYZaHR0cHM6Ly9jcHMudXNlcnRydXN0LmNvbTAI
 BgZngQwBAgEwWAYDVR0fBFEwTzBNoEugSYZHaHR0cDovL2NybC51c2VydHJ1c3Qu
 Y29tL1VTRVJUcnVzdFJTQURvbWFpblZhbGlkYXRpb25TZWN1cmVTZXJ2ZXJDQS5j
 cmwwgYoGCCsGAQUFBwEBBH4wfDBTBggrBgEFBQcwAoZHaHR0cDovL2NydC51c2Vy
 dHJ1c3QuY29tL1VTRVJUcnVzdFJTQURvbWFpblZhbGlkYXRpb25TZWN1cmVTZXJ2
 ZXJDQS5jcnQwJQYIKwYBBQUHMAGGGWh0dHA6Ly9vY3NwLnVzZXJ0cnVzdC5jb20w
 OwYDVR0RBDQwMoIZd3d3LmFuZ3VzYXVzdHJhbGlhLmNvbS5hdYIVYW5ndXNhdXN0
 cmFsaWEuY29tLmF1MA0GCSqGSIb3DQEBCwUAA4IBAQCfA2SHg1DtKmHvipfT3REv
 yowcSTu7 / PbKsOAnxdFlnfziKImPJcAwR7PWQoAFAG3pqfk0lGpxkeXN4UhXRs6m
 MlKKy1xY5H8B4hytCAQDzfZGx0lL4ajeLDsZ439YsHR33abhkf6IieHG412x6PkO
 csr8NFqevOnxAXkjV4yvfQIPk8sGkzT4rdIlMAS7ZW39wKGe31rYrHFXo1EJqswE
 mFjMfYtteExXW1e5RqNyecYZ / A8mkJduqiMNvpEzAtDVzKh49bxB4gI97UsIfA9G
 4k2KzJArfl + gUFucAIPWEwO2ljXMgOmHCtuTycUmir2KDg5OIDzv7M5snwMVNQs7
 ----- END CERTIFICATE -----
  1. Ho inserito la chiave privata (non elencata di seguito).

  2. Ho inserito la catena chiave del certificato seguente (molte combinazioni di sotto, ma credo che questo keychain "più lungo" dovrebbe funzionare, come per la discussione sul sito SSLLabs). Questo portchiavi include l'antica "USERTrust RSA Certification Authority", che dovrebbe essere affidata da vecchi dispositivi.

 ----- BEGIN CERTIFICATE -----
 MIIGFzCCA / + gAwIBAgIQckB41CE86gO / FOVeP1YCNzANBgkqhkiG9w0BAQwFADCBiDELMAkGA1UE
 BhMCVVMxEzARBgNVBAgTCk5ldyBKZXJzZXkxFDASBgNVBAcTC0plcnNleSBDaXR5MR4wHAYDVQQK
 ExVUaGUgVVNFUlRSVVNUIE5ldHdvcmsxLjAsBgNVBAMTJVVTRVJUcnVzdCBSU0EgQ2VydGlmaWNh
 dGlvbiBBdXRob3JpdHkwHhcNMTQwODIyMDAwMDAwWhcNMjkwODIxMjM1OTU5WjCBkzELMAkGA1UE
 BhMCVVMxEzARBgNVBAgTCk5ldyBKZXJzZXkxFDASBgNVBAcTC0plcnNleSBDaXR5MR4wHAYDVQQK
 ExVUaGUgVVNFUlRSVVNUIE5ldHdvcmsxOTA3BgNVBAMTMFVTRVJUcnVzdCBSU0EgRG9tYWluIFZh
 bGlkYXRpb24gU2VjdXJlIFNlcnZlciBDQTCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEB
 AMTDft1Zl + V3Koj2wygf ++ oaX4pvUTmt0zbGzThksBeNYpMzdR1ahJz9RSsMTsRMuichj06TmJbi
 91hvyjuX8jrq1Ep0dS27m9ZgVNToCltsxAj8diDPs / UyAwMiLCPKldQMf4h0Gnii3pWtKJlJw09O
 CqiEmFdJg1DXbRFG5N5iSO4fyKAtD4aDEo + BY1qi + uT3X / RZO + T73WO0BpZGL6OH4sVXhKFY + z6q
 t22LbsTT2vH0rlFyYav9iZFuZlM0rUYMcLJm9yU8L659pwVdAo0YVfv3x42QsQF9W7qNGCndhHNI
 ehLGpV7j2KwaBKq9GFD8BxcpxjUAMhuESdWDa80CAwEAAaOCAW4wggFqMB8GA1UdIwQYMBaAFFN5
 v1qqK0rPVIDh2JvAnfKyA2bLMB0GA1UdDgQWBBSmwefh9PZHY9cvfY2Q + LojT2CsnjAOBgNVHQ8B
 Af8EBAMCAYYwEgYDVR0TAQH / BAgwBgEB / wIBADAdBgNVHSUEFjAUBggrBgEFBQcDAQYIKwYBBQUH
 AwIwGwYDVR0gBBQwEjAGBgRVHSAAMAgGBmeBDAECATBQBgNVHR8ESTBHMEWgQ6BBhj9odHRwOi8v
 Y3JsLnVzZXJ0cnVzdC5jb20vVVNFUlRydXN0UlNBQ2VydGlmaWNhdGlvbkF1dGhvcml0eS5jcmww
 dgYIKwYBBQUHAQEEajBoMD8GCCsGAQUFBzAChjNodHRwOi8vY3J0LnVzZXJ0cnVzdC5jb20vVVNF
 UlRydXN0UlNBQWRkVHJ1c3RDQS5jcnQwJQYIKwYBBQUHMAGGGWh0dHA6Ly9vY3NwLnVzZXJ0cnVz
 dC5jb20wDQYJKoZIhvcNAQEMBQADggIBAELQvN4Fo + l0anb2ajsD / Baf / 7IsyDmPEmfYADO2mpz3
 QWmEOsuc2 / jbHyLoryNQq9PHUSngzRmfe7N + iFfqF5p8 / sbFUbwQrN4e5yXDagrFakztUlxFXR73
 fwIk5Rc9KmIDudq7yqzN68To4sbUpzopPg76AKejfkb3Y8V0yEm2TMsFP2W7d8S6O74TO4PpfR3Q
 Ef5KItzX6cWubJ7e2dpRXMaocoLTzTX8ZJlP52 / LUN / ALjMOga4aZkRIMY0S1X8w1ywERvkcm63Q
 ZnXROlOHmK8cGlHrKaenPnxkipEXhRWoNvlTVVBTH8CjDsaNN + jPMij + feO6mLvXYlNieyW2YU6 /
 G7lMYVNIDczcFby6xUu1pHuDUAmyS0Qn2snHrevLaFzh60jQ / gfmWO2K2vtwhFQDnUF / dq7M8tfB
 vF2g / 8yHDsZIJ1t4PGW6sFfqczJhwEf6LdNn / D / ealgg + IYdixjChRsMd1CaavxPXfD6k7U4aX91
 sL25B8zQn5 / yTpTq0oKTJQgsaQSmB6OYkS8dUIW7Q9XLmSboySMzBNK6MPW24hAsYx2gGTOM1Xtl
 o / V515Q4HCaMS6OhVNGJnncATAT / a7FiMeWxe3shQ2pVT4dfiHkHB92qGrLc / aVFJ1lo + vqB4aqk
 ILjAI7MLPZQY2MnnThQyv6WWAcpxZi4H
 ----- END CERTIFICATE -----
 ----- BEGIN CERTIFICATE -----
 MIIFdzCCBF + gAwIBAgIQE + oocFv07O0MNmMJgGFDNjANBgkqhkiG9w0BAQwFADBvMQswCQYDVQQG
 EwJTRTEUMBIGA1UEChMLQWRkVHJ1c3QgQUIxJjAkBgNVBAsTHUFkZFRydXN0IEV4dGVybmFsIFRU
 UCBOZXR3b3JrMSIwIAYDVQQDExlBZGRUcnVzdCBFeHRlcm5hbCBDQSBSb290MB4XDTAwMDUzMDEw
 NDgzOFoXDTIwMDUzMDEwNDgzOFowgYgxCzAJBgNVBAYTAlVTMRMwEQYDVQQIEwpOZXcgSmVyc2V5
 MRQwEgYDVQQHEwtKZXJzZXkgQ2l0eTEeMBwGA1UEChMVVGhlIFVTRVJUUlVTVCBOZXR3b3JrMS4w
 LAYDVQQDEyVVU0VSVHJ1c3QgUlNBIENlcnRpZmljYXRpb24gQXV0aG9yaXR5MIICIjANBgkqhkiG
 9w0BAQEFAAOCAg8AMIICCgKCAgEAgBJlFzYOw9sIs9CsVw127c0n00ytUINh4qogTQktZAnczomf
 zD2p7PbPwdzx07HWezcoEStH2jnGvDoZtF + mvX2do2NCtnbyqTsrkfjib9DsFiCQCT7i6HTJGLSR
 1GJk23 + jBvGIGGqQIjy8 / hPwhxR79uQfjtTkUcYRZ0YIUcuGFFQ / VDP + fmyc / xadGL1RjjWmp2bI
 cmfbIWax1Jt4A8BQOujM8Ny8nkz + rwWWNR9XWrf / zvk9tyy29lTdyOcSOk2uTIq3XJq0tyA9yn8i
 NK5 + O2hmAUTnAU5GU5szYPeUvlM3kHND8zLDU + / bqv50TmnHa4xgk97Exwzf4TKuzJM7UXiVZ4vu
 PVB + DNBpDxsP8yUmazNt925H + nND5X4OpWaxKXwyhGNVicQNwZNUMBkTrNN9N6frXTpsNVzbQdcS
 2qlJC9 / YgIoJk2KOtWbPJYjNhLixP6Q5D9kCnusSTJV882sFqV4Wg8y4Z + LoE53MW4LTTLPtW // e
 5XOsIzstAL81VXQJSdhJWBp / kjbmUZIO8yZ9HE0XvMnsQybQv0FfQKlERPSZ51eHnlAfV1SoPv10
 YY + xUGUJ5lhCLkMaTLTwJUdZ + gQek9QmRkpQgbLevni3 / GcV4clXhB4PY9bpYrrWX1Uu6lzGKAgE
 JTm4Diup8kyXHAc / DVL17e8vgg8CAwEAAaOB9DCB8TAfBgNVHSMEGDAWgBStvZh6NLQm9 / rEJlTv
 A73gJMtUGjAdBgNVHQ4EFgQUU3m / WqorSs9UgOHYm8Cd8rIDZsswDgYDVR0PAQH / BAQDAgGGMA8G
 A1UdEwEB / wQFMAMBAf8wEQYDVR0gBAowCDAGBgRVHSAAMEQGA1UdHwQ9MDswOaA3oDWGM2h0dHA6
 Ly9jcmwudXNlcnRydXN0LmNvbS9BZGRUcnVzdEV4dGVybmFsQ0FSb290LmNybDA1BggrBgEFBQcB
 AQQpMCcwJQYIKwYBBQUHMAGGGWh0dHA6Ly9vY3NwLnVzZXJ0cnVzdC5jb20wDQYJKoZIhvcNAQEM
 BQADggEBAJNl9jeDlQ9ew4IcH9Z35zyKwKoJ8OkLJvHgwmp1ocd5yblSYMgpEg7wrQPWCcR23 + Wm
 gZWnRtqCV6mVksW2jwMibDN3wXsyF24HzloUQToFJBv2FAY7qCUkDrvMKnXduXBBP3zQYzYhBx9G
 / 2CkkeFnvN4ffhkUyWNnkepnB2u0j4vAbkN9w6GAbLIevFOFfdyQoaS8Le9Gclc1Bb + 7RrtubTeZ
 tv8jkpHGbkD4jylW6l / VXxRTrPBPYer3IsynVgviuDQfJtl7GQVoP7o81DgGotPmjw7jtHFtQELF
 hLRAlSv0ZaBIefYdgWOWnU914Ph85I6p0fKtirOMxyHNwu8 =
 ----- END CERTIFICATE -----
  1. Ora, sembra che SSLLabs memorizzi il vecchio risultato, perché quando elimino tutto da Chrome sul mio Mac (dall'inizio del tempo), la nuova catena di certificati sopra viene rilevata, come per la mia precedente modifica.

EDIT 3

La risposta che Michael Hampton ha dato era corretto. Tuttavia, il motivo per cui la soluzione che ha proposto non funzionava era perché WHM ha un bug con l'aggiornamento del bundle di autorità di certificazione . Quando questo errore si verifica, non import quale text si incolla nel field Bundle Authority Authority (sul SSL / TLS -> Installare un certificato SSL in una pagina di dominio ), il contenuto verrà sostituito con un diverso pacchetto CA, nonostante WHM ti dà un messaggio di successo .

  • Aggiunta di più siti web con certificati SSL diversi in IIS 7
  • Come scoprire se un certificato OpenSSL è stato creato da una determinata chiave privata?
  • Intel vPro su AWS EC2 T2?
  • Può un certificato SSL essere su una singola row di un file (senza interruzioni di row)?
  • Validare i client SSL utilizzando un elenco di certificati autorizzati invece di un'autorità di certificazione
  • Come faccio a corrispondere un file di certificato a un file di chiave?
  • Errore di verifica SSL con git (su github) su Ubuntu 14.04
  • Curl: incapace di get il certificato locale dell'emittente. Come eseguire il debug?
  • One Solution collect form web for “Perché il mio certificato SSL non è affidato a Android?”

    Il certificato del tuo dominio dispone di due routes a due diverse autorità di certificazione di origine.

    Sui browser desktop moderni come Google Chrome, così come sulle versioni più recenti di Android, il path da prendere è il più recente certificato radice dell'autorità di certificazione RSA USERTrust. (Ho questo su Android 7.0 NPD90G.)

    Su vecchie versioni Android, il path che viene eseguito è il vecchio certificato principale Root root AddTrust esterno.

    In questo secondo path, manca un certificato intermedio. Questo è quello mostrato nel test SSL Labs come un "download extra". Per risolvere il problema, è necessario get questo certificato intermedio e aggiungerlo alla catena del certificato nel server web.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.