Esta cadeia de certificados SSL está quebrada e como corrigi-la?

Para o certificado SSL no domínio example.com, alguns testes me dizem que a cadeia está incompleta e, como o Firefox mantém seu próprio armazenamento de certificados, pode falhar no Mozilla ( 1 , 2 , 3 ). Outros me dizem que está tudo bem , assim como o Firefox 36, que me diz que a cadeia de certificação está bem.

ATUALIZAÇÃO: Testei no Opera, Safari, Chrome e IE no Windows XP e no MacOS X Snow Leopard, todos eles funcionam bem. Ele só falha no Firefox <36 nos dois sistemas operacionais. Não tenho acesso para testar no Linux, mas para este site é menos de 1% dos visitantes, e a maioria provavelmente é bots. Portanto, isso responde às perguntas originais "essa configuração exibe avisos no Mozilla Firefox ou não" e "Esta cadeia de certificados SSL está quebrada ou não?".

Portanto, a questão é como descobrir quais documentos eu preciso colocar no arquivo ssl.ca para que possam ser atendidos pelo Apache para impedir que o Firefox <36 seja bloqueado?

PS: Como observação, o Firefox 36 que eu usei para testar o certificado era uma instalação totalmente nova. Não há chance de que não tenha reclamado porque havia baixado um certificado intermediário durante uma visita anterior a um site que usa a mesma cadeia .

Se a cadeia for suficiente, depende do armazenamento da CA do cliente. Parece que o Firefox e o Google Chrome incluíram o certificado para "COMODO RSA Certification Authority" no final de 2014. Para o Internet Explorer, isso provavelmente depende do sistema operacional subjacente. A CA ainda pode não estar incluída em armazenamentos confiáveis ​​usados ​​por não navegadores, como rastreadores, aplicativos móveis etc.

De qualquer forma, a cadeia não está totalmente correta, como pode ser visto no relatório do SSLLabs :

• Um caminho de confiança precisa que a nova CA seja confiável pelo navegador. Nesse caso, você ainda envia a nova CA incorreta, porque as CAs confiáveis ​​devem ser integradas e não contidas na cadeia.
• O outro caminho de confiança está incompleto, ou seja, precisa de um download extra. Alguns navegadores como o Google Chrome fazem esse download, enquanto outros e não navegadores esperam que todos os certificados necessários estejam contidos na cadeia enviada. Portanto, a maioria dos navegadores e aplicativos que não possuem a nova CA integrada falhará neste site.

Entrei em contato com a Comodo e baixei um arquivo bundle.crt deles. Renomeei para ssl.ca, conforme a configuração deste servidor, e agora o certificado passa em todos os testes. O Chain issues = Contains anchoraviso não é um problema (veja abaixo).

O SSL Labs, amplamente considerado como o teste mais completo, agora mostra Chain issues = Contains anchor, enquanto antes o mostrava Chain issues = None(enquanto os outros mostravam um problema com a cadeia). Isso realmente não é problema ( 1 , 2 ), além de 1 kB extra que o servidor envia ao cliente.

Minha conclusão

1. Ignore o teste do SSL Labs onde diz Chain issues = Contains anchorOU remova o certificado raiz do arquivo do pacote (veja este comentário abaixo).

2. Sempre execute um teste secundário em pelo menos um dos outros três sites de teste ( 1 , 2 , 3 ) para garantir que sua cadeia esteja realmente correta quando o SSL Labs informar Chain issues = None.