Programing

모바일 크롬에서만 SSL 인증서“err_cert_authority_invalid”

lottogame 2020. 12. 13. 08:31
반응형

모바일 크롬에서만 SSL 인증서“err_cert_authority_invalid”


도메인 : https://www.amz2btc.com

SSL 연구소의 분석 : https://www.ssllabs.com/ssltest/analyze.html?d=amz2btc.com

내 모든 데스크톱 브라우저가이 문제를 해결합니다. 모바일 파이어 폭스는이 문제를 해결합니다. 모바일 Chrome으로 시도했을 때만 오류가 발생했습니다.err_cert_authority_invalid

SSL에 대해 거의 알지 못하기 때문에 SSL 보고서 또는이 오류가 발생하는 이유를 이해할 수 없습니다. 누군가 ELI5를 할 수 있다면 이상적 일 것입니다. :)


나는 방금 아침에 이것을 처리했습니다. 문제는 인증서가 없다는 것이 아닙니다. 내가 여분이 있다는 것이 었습니다.

내 서버 키와 SSL 인증 기관에서 제공 한 세 개의 파일이 포함 된 ssl.conf로 시작했습니다.

#   Server Certificate:
SSLCertificateFile /etc/pki/tls/certs/myserver.cer

#   Server Private Key:
SSLCertificateKeyFile /etc/pki/tls/private/myserver.key

#   Server Certificate Chain:
SSLCertificateChainFile /etc/pki/tls/certs/AddTrustExternalCARoot.pem

#   Certificate Authority (CA):
SSLCACertificateFile /etc/pki/tls/certs/InCommonServerCA.pem

데스크톱에서는 잘 작동했지만 Android의 Chrome은 err_cert_authority_invalid

많은 골칫거리, 검색 및 잘못된 문서는 나중에 서버 인증서 체인이라는 것을 알았습니다.

SSLCertificateChainFile /etc/pki/tls/certs/AddTrustExternalCARoot.pem

그것은 불완전한 두 번째 인증서 체인을 생성했습니다 . 나는 그 줄에 주석을 달았고

#   Server Certificate:
SSLCertificateFile /etc/pki/tls/certs/myserver.cer

#   Server Private Key:
SSLCertificateKeyFile /etc/pki/tls/private/myserver.key

#   Certificate Authority (CA):
SSLCACertificateFile /etc/pki/tls/certs/InCommonServerCA.pem

이제 Android에서 다시 작동합니다. 이것은 Apache 2.2를 실행하는 Linux에서 발생했습니다.


Parse를 통해 웹 사이트를 호스팅하고 NameCheap에서 재판매 한 Comodo SSL 인증서를 사용하는 동안 이와 동일한 문제가 발생했습니다.

zip 폴더 안에 두 개의 인증서 파일이 제공됩니다. www_yourdomain_com.ca-bundle www_yourdomain_com.crt

Parse에는 하나의 파일 만 업로드 할 수 있습니다. Parse SSL Cert Input Box

터미널에서 다음을 사용하여 두 파일을 결합합니다.

cat www_yourdomain_com.crt www_yourdomain_com.ca-bundle > www_yourdomain_com_combine.crt

그런 다음 Parse에 업로드합니다. 이렇게하면 Android Chrome 및 Firefox 브라우저의 문제가 해결됩니다. https://www.sslchecker.com/sslchecker 에서 테스트하여 작동하는지 확인할 수 있습니다.


IIS 서버에서이 문제가있는 사람들을 위해.

설명 : 때때로 인증서 는 실제 인증서 대신 중간 인증서 URL전달합니다 . 데스크탑 브라우저는 이 URL을 사용하여 누락 된 중간 인증서를 다운로드 할 수 있습니다 . 그러나 구형 모바일 브라우저는 그렇게 할 수 없습니다. 그래서 그들은이 경고를 던집니다.

당신은

1) 모든 중간 인증서가 서버에서 제공되는지 확인

2) IIS에서 불필요한 인증 경로 비활성화- "신뢰할 수있는 루트 인증 기관"에서 다운로드를 트리거하는 인증서에 대해 "모든 용도를 비활성화"해야합니다.

추신. 내 동료는 https://www.jitbit.com/maxblog/21-errcertauthorityinvalid-on-android-and-iis/에 더 자세한 단계가 포함 된 블로그 게시물을 작성했습니다.


SSLabs의 보고서는 다음과 같이 말합니다.

  This server's certificate chain is incomplete. Grade capped to B.
  ....
  Chain Issues                  Incomplete

데스크톱 브라우저에는 종종 이전 연결에서 캐시 된 체인 인증서가 있거나 인증서에 지정된 URL에서 다운로드합니다. 일반적으로 모바일 브라우저 및 기타 애플리케이션은 그렇지 않습니다.

누락 된 인증서를 포함하여 체인을 수정하면 모든 것이 올바르게 처리됩니다.


나는 너무 늦지 않았기를 바랍니다.이 솔루션이 저에게 효과적이었습니다 .COMODO SSL을 사용하고 있습니다. 위의 솔루션은 시간이 지남에 따라 유효하지 않은 것 같습니다. 제 웹 사이트 lifetanstic.co.ke

Comodo 지원에 문의하여 CA 번들 파일을 얻는 대신 다음을 수행 할 수 있습니다.

Comodo에서 새 SSL 인증서를 받으면 (우편으로) zip 파일이 첨부됩니다. zip 파일의 압축을 풀고 메모장과 같은 텍스트 편집기에서 다음 파일을 열어야합니다.

AddTrustExternalCARoot.crt
COMODORSAAddTrustCA.crt
COMODORSADomainValidationSecureServerCA.crt

그런 다음 각 ".crt"파일의 텍스트를 복사하고 "인증 기관 번들 (선택 사항)"필드에서 텍스트를 서로 위에 붙여 넣습니다.

그런 다음 "인증서"필드에 평소와 같이 SSL 인증서를 추가하고 "인증서로 자동 제출"버튼을 클릭하고 "설치"를 누르십시오.

이 요점에서 영감을 얻었습니다 : https://gist.github.com/ipedrazas/6d6c31144636d586dcc3


나는 또한 체인에 문제가 있었고 https://gist.github.com/bradmontgomery/6487319 가이드를 사용하여 해결할 수있었습니다.


if you're like me who is using AWS and CloudFront, here's how to solve the issue. it's similar to what others have shared except you don't use your domain's crt file, just what comodo emailed you.

cat COMODORSADomainValidationSecureServerCA.crt COMODORSAAddTrustCA.crt AddTrustExternalCARoot.crt > ssl-bundle.crt

this worked for me and my site no longer displays the ssl warning on chrome in android.


I solved my problem with this commands:

cat __mydomain_com.crt __mydomain_com.ca-bundle > __mydomain_com_combine.crt

and after:

cat __mydomain_com_combine.crt COMODORSADomainValidationSecureServerCA.crt 
COMODORSAAddTrustCA.crt AddTrustExternalCARoot.crt > mydomain.pem

And in my domain nginx .conf I put on the server 443:

ssl_certificate          ssl/mydomain.pem;
ssl_certificate_key      ssl/mydomain.private.key;

I don't forget restart your "Nginx"

service nginx restart

A decent way to check whether there is an issue in your certificate chain is to use this website:

https://www.digicert.com/help/

Plug in your test URL and it will tell you what may be wrong. We had an issue with the same symptom as you, and our issue was diagnosed as being due to intermediate certificates.

SSL Certificate is not trusted

The certificate is not signed by a trusted authority (checking against Mozilla's root store). If you bought the certificate from a trusted authority, you probably just need to install one or more Intermediate certificates. Contact your certificate provider for assistance doing this for your server platform.


I had the same probleme but the response made by Mike A helped me to figure it out: I had a my certificate, an intermediate certificate (Gandi) , an other intermediate (UserTrustRSA) and finally the RootCA certificate (AddTrust).

So first i made a chain file with Gandi+UserTrustRSA+AddTrust and specified it with SSLCertificateChainFile. But it didn't worked.

So i tried MikeA answer by just putting AddTruct cert in a file and specified it with SSLCACertificateFile and removing SSLCertificateChainFile.But it didn't worked.

So finnaly i made a chain file with only Gandi+UserTrustRSA specified by SSLCertificateChainFile and the other file with only the RootCA specified by SSLCACertificateFile and it worked.

#   Server Certificate:
SSLCertificateFile /etc/ssl/apache/myserver.cer

#   Server Private Key:
SSLCertificateKeyFile /etc/ssl/apache/myserver.key

#   Server Certificate Chain:
SSLCertificateChainFile /etc/ssl/apache/Gandi+UserTrustRSA.pem

#   Certificate Authority (CA):
SSLCACertificateFile /etc/ssl/apache/AddTrust.pem

Seems logical when you read but hope it helps.


I guess you should install CA certificate form one if authority canter:

ssl_trusted_certificate ssl/SSL_CA_Bundle.pem;


Just do the following for Version 44.0.2403.155 dev-m

Privacy -->Content settings -->Do not allow any site to run JavaScript

Problem Solved

참고URL : https://stackoverflow.com/questions/27892873/ssl-cert-err-cert-authority-invalid-on-mobile-chrome-only

반응형