Браузер все еще видит / использует старый сертификат NGINX SSL
Я только что получил новый сертификат SSL для домена, на который ранее распространялся сертификат SSL с подстановочными знаками. Прошло более недели с момента его установки, и около 99% моих пользователей не имеют проблемы. Теперь есть только один или два (о которых я знаю), которые получают предупреждение "Сайт не является доверенным", поэтому я предполагаю, что они видят старый сертификат при подключении. Есть ли способ заставить все браузеры использовать новый сертификат SSL при подключении? (это NGINX в Ubuntu)
1 ответ
Я предполагаю, что у вас есть проблема с вашим сертификатом (например, отсутствует промежуточный сертификат), и цепочка сертификации нарушена для некоторых клиентов / браузеров.
Рекомендуется использовать внешние инструменты для проверки настроек SSL/TLS после установки нового сертификата на сервер.
Хорошими инструментами являются Qualys SSL Labs или CryptCheck.
Помните, что у Nginx нет опции для промежуточных сертификатов. Вы должны объединить их в один файл и предоставить это с помощью опции ssl_certificate. Такой файл сертификата содержит ваш сертификат и все необходимые промежуточные сертификаты.
Если вам нравится использовать OCSP, существует опция ssl_trusted_certificate, которая более или менее совпадает с указанным выше файлом, плюс корневой сертификат CA.
На самом деле ответ ssllabs.com довольно полезен. Существует раздел "Дополнительные сертификаты (если есть)", который показывает каждый сертификат вашего файла сертификатов (тот, который установлен с опцией ssl_certificate). Вместе с разделом "Пути сертификации" вы можете увидеть различные пути сертификации и где какой сертификат был использован или какой сертификат отсутствует. Вы даже можете увидеть, какой из них устарел, если вы предоставили слишком много. Вы также можете использовать отпечаток SHA256 для поиска недостающего сертификата в Google, загрузки и исправления настроек.