Comodo SSL: ERR_CERT_AUTHORITY_INVALID su Chrome mobile e Opera mobile (Android)

Question

Su alcuni browser mobili, come Chrome mobile per Android, ricevo un errore ERR_CERT_AUTHORITY_INVALID quando mi collego al mio sito Web https. Non ho questo problema su tutti i browser mobili (come Firefox) e non c'è nessun problema su PC.

Il mio certificato è un certificato di convalida esteso Comodo. Contratto con Gandi.net, un'autorità di certificazione SSL francese e Gandi è incaricata di ottenere il certificato EV di Comodo e di darlo a me. Gandi mi ha dato un certificato PEM di base + un certificato PEM intermedio. Ho installato entrambi.

Ho effettuato analisi su https://www.ssllabs.com/ssltest/analyze.html e dice "download extra" per uno dei certificati (denominato "COMODO RSA Certification Authority") mentre ho installato tutti i certificati che ho ricevuto da Gandi.

ho cercato di guardare in questa discussione, ma non ha aiutato: SSL cert "err_cert_authority_invalid" on mobile chrome only

Qualcuno sa che cosa è sbagliato? Grazie.

Answer 1

Per chi è interessato ecco come ho risolto il problema.

Problema: nella mia catena di certificati mancava un certificato Comodo intermedio. La mia autorità di certificazione SSL (Gandi.net) era responsabile del rapporto con Comodo e Gandi mi ha dato solo due certificati: un certificato di base + un certificato intermedio. Entrambi erano in formato .pem. Ho installato entrambi ed è stato sufficiente per quasi tutti i browser tranne che per un paio di browser mobili. In realtà mancava un certificato intermedio Comodo denominato "COMODO RSA Certification Authority".

Soluzione in 2 fasi:

1) pensa che il repository contenente tutti i certificati Comodo qui https://support.comodo.com/index.php?/Default/Knowledgebase/Article/View/620/0/which-is-root-which-is-intermediate. Copio il mio incollato in formato .PEM da questa pagina https://support.comodo.com/index.php?/Default/Knowledgebase/Article/View/977/108/extended-validation-sha-2 (è chiamato "# intermediate1" qui, non "COMODO RSA Certification Authority").

2) concatenati questo nuovo certificato intermedio con il primo certificato intermedio avevo già (chiamato "# intermediate2" sul sito web di Comodo) mettendo questo nuovo certificato alla fine del primo certificato. L'ho fatto in questo modo:

-----BEGIN CERTIFICATE----- 
intermediate#2 
-----END CERTIFICATE----- 
-----BEGIN CERTIFICATE----- 
intermediate#1 
-----END CERTIFICATE----- 

auguro che possa aiutare!

Answer 2

La catena di certificati è incompleta. Il "download extra" lo dimostra.

È necessario inviare la catena includendo il certificato mancante indicato da ssllabs.

Si noti che la connessione funziona la maggior parte del tempo perché i browser mantengono una cache sui certificati.

Answer 3

Sto ospitando il mio sito su nginx e ho anche avuto lo stesso problema con la mia applicazione Android. Il precedente accepted answer mi ha indirizzato alla mia soluzione:

Quando ho ottenuto il certificato (mio dominio.crt) ho creato un file CRT boundle che è stato generato dalla combinazione con il mio certificato ComodoRSADomainCA e ComodoRSAAddTrustCA contenuti PEM

cat my-domain.crt ComodoRSADomain.crt ComodoRSAAddTrustCA.crt > ssl-boundle.crt 

Quando ho linkato ssl-boundle.crt per nginx poi i clienti non hanno avuto problemi scambiare dati. E inoltre ho ottenuto questo bel risultato su ssllabs:

:)

Answer 4

Dopo aver creato il pacchetto se il problema persiste ,, nel mio caso era alcuni spazi in più alla fine del .pem e Chrome mostrano come ONU sicuro e su Firefox funziona bene. Dopo averli rimossi tutto va bene, spero che questo aiuti qualcuno.