Comodo SSL: ERR_CERT_AUTHORITY_INVALID на мобильных устройствах Chrome и Opera (Android)

В некоторых мобильных браузерах, таких как Chrome для Android, я получаю ошибку ERR_CERT_AUTHORITY_INVALID, когда я подключаюсь к своему сайту https. У меня нет этой проблемы для всех мобильных браузеров (например, Firefox), и на ПК нет проблем.

Мой сертификат является сертификатом Comodo Extended Validation. Я заключу контракт с Gandi.net, французским сертификационным центром SSL, и Gandi отвечает за получение сертификата Comodo EV и предоставление его мне. Ганди дал мне базовый сертификат PEM + промежуточный сертификат PEM. Я установил оба.

Я делал анализ на https://www.ssllabs.com/ssltest/analyze.html, и он говорит «дополнительная загрузка» для одного из сертификатов (именуемого «Центр сертификации COMODO RSA»), в то время как я установил все сертификаты, которые я получил от Gandi ,

Я попытался изучить этот поток, но это не помогло: SSL cert «err_cert_authority_invalid» только на мобильном хроме

Кто-нибудь знает, что не так? Благодарю.

Solutions Collecting From Web of "Comodo SSL: ERR_CERT_AUTHORITY_INVALID на мобильных устройствах Chrome и Opera (Android)"

Для тех, кто интересуется здесь, я решил проблему.

Проблема: в моей цепочке сертификатов отсутствовал промежуточный сертификат Comodo. Мой центр сертификации SSL (Gandi.net) отвечал за отношения с Comodo, и Gandi дал мне два сертификата: базовый сертификат + промежуточный сертификат. Оба были в формате .pem. Я установил оба, и этого было достаточно для почти любого браузера, за исключением нескольких мобильных браузеров. Фактически отсутствовал промежуточный сертификат Comodo под названием «Центр сертификации COMODO RSA».

Решение в 2 этапа:

1) нашел хранилище, содержащее все сертификаты Comodo, здесь https://support.comodo.com/index.php?/Default/Knowledgebase/Article/View/620/0/which-is-root-which-is-intermediate . Я копирую в шахматы в формате .PEM с этой страницы https://support.comodo.com/index.php?/Default/Knowledgebase/Article/View/977/108/extended-validation-sha-2 (он называется " # Intermediate1 "здесь, а не" COMODO RSA Certification Authority ").

2) связал этот новый промежуточный сертификат с первым промежуточным сертификатом, который у меня уже был (так называемый «# промежуточным2» на веб-сайте Comodo), поместив этот новый сертификат в конец первого сертификата. Я сделал это так:

-----BEGIN CERTIFICATE----- intermediate#2 -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- intermediate#1 -----END CERTIFICATE----- 

Надеюсь, это поможет!

Цепочка сертификатов является неполной. Это доказывает «дополнительная загрузка».

Вы должны отправить цепочку, включая отсутствующий сертификат, указанный ssllabs.

Обратите внимание, что связь работает большую часть времени, потому что браузеры хранят кеш в сертификатах.

Я размещаю свой сайт под nginx, и у меня также была такая же проблема с моим приложением для Android. Вышеприведенный ответ направил меня на мое решение:

Когда я получил сертификат ( my-domain.crt ), я создал файл crl с ограничениями, который был сгенерирован путем объединения моего сертификата с ComodoRSADomainCA и ComodoRSAAddTrustCA PEM content

 cat my-domain.crt ComodoRSADomain.crt ComodoRSAAddTrustCA.crt > ssl-boundle.crt 

Когда я связывал ssl-boundle.crt с nginx, у клиентов не было проблем с обменом данными. А также я получил этот хороший результат на ssllabs :

Счастливый счет 🙂