仅使用 Firefox 的 SSL 无效安全证书

Posted 2023-02-27

【中文标题】仅使用 Firefox 的 SSL 无效安全证书

【英文标题】：SSL invalid security certificate with firefox only

【发布时间】：2016-08-11 19:03:25

【问题描述】：

仅来自 mozilla 浏览器的网站的 API GET 调用我收到以下错误“VIP 使用无效的安全证书。证书不受信任，因为颁发者证书未知。服务器可能未发送适当的中间证书。额外的根证书可能需要导入”

通过 SLLLABS.com 测试 vip 发现从我的服务器证书返回的密码套件不在 mozilla 的首选项列表中 - https://www.ssllabs.com/ssltest/viewClient.html?name=Firefox&version=47&platform=Win%207&key=132

这可能是问题吗？如何在证书中添加所需的密码套件，遵循哪些步骤。

报告还指出没有前向保密和会话缓存，不确定这是否会导致此问题？！

SSL 实验室报告。 Firefox 31.3.0 ESR / Win 7 服务器关闭连接 Firefox 46 / Win 7 R 服务器关闭连接 Firefox 47 / Win 7 R 服务器关闭连接 前向保密无弱（更多信息） 会话恢复（缓存）否（已分配但未接受的 ID）

【问题讨论】：

SSL 证书供应商数不胜数，显然您的供应商不是 Mozilla 嵌入浏览器的供应商。您要么必须安装 CA 的公共证书，要么使用其他 ssl 供应商。

【参考方案1】：

从我的服务器证书返回的密码套件不在 mozilla 的首选项列表中 - 这可能是问题吗？

没有。您的错误信息具体是：

“证书不受信任，因为颁发者证书未知。服务器可能未发送适当的中间证书。可能需要导入额外的根证书”

这个特定的问题是 Firefox 无法将链构建回受信任的根。 Firefox 使用自己的根存储和根程序，因此在 IE/Edge/Chrome 的行为上有所不同，它们都使用 Windows 证书存储或 OS X 证书存储。

如果不确切知道哪个 CA 颁发了您的证书，以及您的服务器设置为哪些中间体提供服务，很难确切地说出什么问题。

如果 SSL Labs 说证书没问题，请在显示证书链的地方寻找橙色的“不完整链”或“额外下载”。如果这些显示，那么你有一个不完整的链，这是构建回根所必需的。

如果 SSL 实验室说您的证书不受信任（显示一个大红色“T”），那么您的证书不是由公共 CA 颁发的，或者 SSL 实验室也无法找到中间人。

报告还指出没有前向保密和会话缓存，不确定这是否会导致此问题？！

启用前向保密是一件非常好的事情，但这不是导致此错误的原因。

【讨论】：

SSL 实验室没有说不完整的链“附加证书（如果提供）/提供的证书 2（2639 字节）/链问题无”。我并没有说您的证书不受信任，它只是突出显示“服务器不支持使用参考浏览器的前向保密。等级降至 A-”我能够下载证书链，这些证书已下载。以下是提供的证书“委托证书颁发机构 - L1K”