全球主机交流论坛

标题: SSL证书不兼容，求低版本浏览器测试…… [打印本页]

作者: wzwen 时间: 2011-8-29 21:04
标题: SSL证书不兼容，求低版本浏览器测试……
https://www.hostsir.com

话说我自己的ie8浏览器测试正常，有个朋友用ie8打开一直提示“证书错误：导航已阻止”

还有朋友说FF打开也出现不安全的提示

作者: Vita 时间: 2011-8-29 21:05
Chrome正常。

作者: hotsnow 时间: 2011-8-29 21:06
FF6 正常

作者: yrdesign 时间: 2011-8-29 21:06
提示: 作者被禁止或删除内容自动屏蔽

作者: cnx 时间: 2011-8-29 21:06
IE6通过.

作者: wzwen 时间: 2011-8-29 21:06
奇怪为什么有个朋友ie8一直测试不通过，晕死我了

作者: myhost123 时间: 2011-8-29 21:06
IE8和FF3正常。

作者: xxx 时间: 2011-8-29 21:08
IE9 FF6正常

作者: lxfy 时间: 2011-8-29 21:09
Chrome正常，FF6正常

作者: boonzheng 时间: 2011-8-29 21:09
FF6正常

作者: Showfom 时间: 2011-8-29 21:10
你朋友自己的电脑本地的日期是2010年吧=。=

作者: qiqi13245 时间: 2011-8-29 21:10
chrome passed
ie9 passed

作者: zhongchen 时间: 2011-8-29 21:10
火弧 IE6 正常

作者: whyyyhk 时间: 2011-8-29 21:11
提示: 作者被禁止或删除内容自动屏蔽

作者: 活猪 时间: 2011-8-29 21:13
IE7正常

作者: steptodream 时间: 2011-8-29 21:13
此连接是不受信任的





      您想使用 Firefox 来安全连接至 www.hostsir.com，但是我们无法确认此连接为安全的。
      通常，当您尝试安全连接时，站点会出示受信任的标识，以证明您访问的是正确的地址。然而，现在无法验证此网站的标识。



      怎么办？

         如果您过去连接到此网站并且没有发现问题，那么此错误信息表示可能有人想冒充该网站，所以您应该停止浏览。






      技术细节




      我已充分了解可能的风险

作者: wzwen 时间: 2011-8-29 21:15

原帖由 steptodream 于 2011-8-29 21:13 发表
此连接是不受信任的





      您想使用 Firefox 来安全连接至 www.hostsir.com，但是我们无法确认此连接为安全的。
      通常，当您尝试安全连接时，站点会出示受信任的标识，以 ...

你的FF是什么版本？

作者: 381183401 时间: 2011-8-29 21:16
提示: 作者被禁止或删除内容自动屏蔽

作者: wzwen 时间: 2011-8-29 21:16

SSLCertificateFile /home/ssl/server.crt
SSLCertificateKeyFile /home/ssl/server.key
SSLCertificateChainFile /home/ssl/server.cer

apache的配置文件没问题吧？

作者: 381183401 时间: 2011-8-29 21:18
提示: 作者被禁止或删除内容自动屏蔽

作者: Showfom 时间: 2011-8-29 21:20
CA证书放进去了吗？

作者: 李院长 时间: 2011-8-29 21:20
正常，你所说的情况极有可能是你朋友的系统是精简版的盗版系统

这种系统太过精简了，把很多根证书或全部根证书干掉了

所以可以无视

作者: 咯拉无米 时间: 2011-8-29 21:22
标题: 回复 16# steptodream 的帖子
什么版本？？

作者: Sylar 时间: 2011-8-29 21:23
UC正常

作者: skwinx 时间: 2011-8-29 21:26
Comodo 的吧，IE8正常

作者: lovettww 时间: 2011-8-29 21:26
Chrome正常。

作者: wr浅唱 时间: 2011-8-29 21:29
FF6 ok

作者: 害羞哥 时间: 2011-8-29 21:31
你紧张了，但是国内靠百度

百度读不出来ssl的，慎用啊

作者: 李院长 时间: 2011-8-29 21:31
我说的就是真理，其它回复可以无视

作者: pfdiy 时间: 2011-8-29 21:38
IE8 谷歌全部正常！

作者: wzwen 时间: 2011-8-29 21:38

原帖由 李院长 于 2011-8-29 21:20 发表
正常，你所说的情况极有可能是你朋友的系统是精简版的盗版系统

这种系统太过精简了，把很多根证书或全部根证书干掉了

所以可以无视

可能吧，刚问了这位朋友，他用的是ghost的系统，不过他访问uk2的https://controlpanel.uk2.net/却显示证书正常

作者: wzwen 时间: 2011-8-29 21:39

原帖由 害羞哥 于 2011-8-29 21:31 发表
你紧张了，但是国内靠百度

百度读不出来ssl的，慎用啊

ssl和http同时启用的，只是会员登陆的时候必须要用ssl连接

作者: mslxd 时间: 2011-8-29 21:40
ie6 chrome正常

作者: 李院长 时间: 2011-8-29 21:43
不过你的证书配置好像真有问题

* About to connect() to www.hostsir.com port 443 (#0)
* Trying 69.163.40.106... connected
* Connected to www.hostsir.com (69.163.40.106) port 443 (#0)
* successfully set certificate verify locations:
* CAfile: none
CApath: /etc/ssl/certs
* SSLv3, TLS handshake, Client hello (1):
* SSLv3, TLS handshake, Server hello (2):
* SSLv3, TLS handshake, CERT (11):
* SSLv3, TLS alert, Server hello (2):
* SSL certificate problem, verify that the CA cert is OK. Details:
error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
* Closing connection #0
curl: (60) SSL certificate problem, verify that the CA cert is OK. Details:
error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
More details here: http://curl.haxx.se/docs/sslcerts.html

curl performs SSL certificate verification by default, using a "bundle"
of Certificate Authority (CA) public keys (CA certs). If the default
bundle file isn't adequate, you can specify an alternate file
using the --cacert option.
If this HTTPS server uses a certificate signed by a CA represented in
the bundle, the certificate verification probably failed due to a
problem with the certificate (it might be expired, or the name might
not match the domain name in the URL).
If you'd like to turn off curl's verification of the certificate, use
the -k (or --insecure) option.

作者: wzwen 时间: 2011-8-29 21:49

原帖由 李院长 于 2011-8-29 21:43 发表
不过你的证书配置好像真有问题

* About to connect() to www.hostsir.com port 443 (#0)
* Trying 69.163.40.106... connected
* Connected to www.hostsir.com (69.163.40.106) port 443 (#0)
* successfully ...

这是什么工具测试的？

我的配置是这样的：

SSLEngine on
SSLCertificateFile /home/ssl/server.crt
SSLCertificateKeyFile /home/ssl/server.key
SSLCertificateChainFile /home/ssl/server.cer

作者: 李院长 时间: 2011-8-29 21:53
把 SSLCertificateChainFile /home/ssl/server.cer 换成 SSLCACertificateFile /home/ssl/server.cer

试试

我用的是 curl 测试的

作者: skwinx 时间: 2011-8-29 21:56
合并证书没？

作者: blu 时间: 2011-8-29 21:56
OPERA正常

作者: 蚂蚁 时间: 2011-8-29 22:04
IE9 Chrome 正常

作者: 小牧 时间: 2011-8-29 22:34
ie6 firefox6 chrome12 通过

作者: wzwen 时间: 2011-8-29 22:35

原帖由 李院长 于 2011-8-29 21:53 发表
把 SSLCertificateChainFile /home/ssl/server.cer 换成 SSLCACertificateFile /home/ssl/server.cer

试试

我用的是 curl 测试的

还是不行

我怀疑是不是server.cer这个文件的问题？server.cer我是直接把server.crt改名的

作者: vaman 时间: 2011-8-29 22:40
chrome+IE8都正常

作者: 咯拉无米 时间: 2011-8-29 22:44
标题: 回复 41# wzwen 的帖子
直接用crt

SSLCertificateKeyFile /home/ssl/server.key
SSLCertificateFile /home/ssl/www.hostsir.com.crt
SSLCACertificateFile /home/ssl/PositiveSSLCA.crt

作者: wzwen 时间: 2011-8-29 22:47
http://www.trustasia.com/ssl-tools/ssl-checker/

我用这个在线测试，说：证书链不完整

看来问题还是出在这里：
SSLCertificateChainFile /home/ssl/server.cer

将server.cer文件改成PositiveSSLCA.crt貌似也无用

作者: javaluo 时间: 2011-8-29 23:10
Chrome正常。

作者: javaluo 时间: 2011-8-29 23:11
ie9正常

作者: wvidc 时间: 2011-8-29 23:16
ff提示此连接不受信任楼主和我用的证书类似 https://www.wvidc.com/

作者: cmlz 时间: 2011-8-29 23:18
FF 3.6.6

此连接是不受信任的

您想使用 Firefox 来安全连接至 www.hostsir.com，但是我们无法确认此连接为安全的。

通常，当您尝试安全连接时，站点会出示受信任的标识，以证明您访问的是正确的地址。然而，现在无法验证此网站的标识。

怎么办？

如果您过去连接到此网站并且没有发现问题，那么此错误信息表示可能有人想冒充该网站，所以您应该停止浏览。

技术细节
www.hostsir.com 使用了无效的安全证书。

该证书因为其发行者证书未知而不被信任。

（错误码： sec_error_unknown_issuer）

我已充分了解可能的风险

如果您了解现在所发生的一切，您可以告诉 Firefox 并让它信任此站点的标识。
即使您信任此站点，这个错误还表明可能有人尝试干扰您的连接。

不要随便添加例外，除非您知道并认同该网站不使用受信任标识的理由。

作者: wzwen 时间: 2011-8-29 23:29
应该问题还是出在证书链上面

SSLCertificateChainFile /home/ssl/PositiveSSLCA.crt

实在搞不懂这个证书链的文件究竟哪里出了问题

作者: wzwen 时间: 2011-8-29 23:30

原帖由 wvidc 于 2011-8-29 23:16 发表
ff提示此连接不受信任楼主和我用的证书类似 https://www.wvidc.com/

你的也是证书链不完整，杯具……
curl也出错

作者: xiasl 时间: 2011-8-30 00:09
火狐3.6
CN = PositiveSSL CA
O = Comodo CA Limited
L = Salford
ST = Greater Manchester
C = GB
就是稍微有点慢，这个小人头像挺好玩的嘿嘿

作者: xiasl 时间: 2011-8-30 00:18
标题: 回复 51# xiasl 的帖子
话说这个头像应该有套图的吧

作者: 咯拉无米 时间: 2011-8-30 00:18

原帖由 wzwen 于 2011-8-29 23:30 发表

你的也是证书链不完整，杯具……
curl也出错

按照我43楼的试试吧
同样的的证书我刚才测试了一下我的就能通过 http://www.trustasia.com/ssl-tools/ssl-checker/检查

测试地址：https://ssl.ooo.hk/

作者: wzwen 时间: 2011-8-30 23:15
标题: 回复 53# 咯拉无米的帖子
我又修改了apache的配置，这回应该好了

通过 http://www.trustasia.com/ssl-tools/ssl-checker/检查

而且以linux下curl带https的正常返回html代码

作者: somin 时间: 2011-8-31 00:39
chrome 正常！！

作者: itsnew 时间: 2011-8-31 03:33
chrome 正常

作者: wzwen 时间: 2011-8-31 08:28
现在应该彻底都正常了

确认SSL证书没有问题，是我的配置有了冲突导致的，最终检查到原因

欢迎光临全球主机交流论坛 (https://loc.1226.eu.org/)