V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
initialdp
V2EX  ›  SSL

QQ 浏览器不信任 Lets Encrypt?

  •  
  •   initialdp · 2016-01-31 12:52:51 +08:00 · 6000 次点击
    这是一个创建于 3221 天前的主题,其中的信息可能已经有所发展或是发生改变。
    昨天将网站改成用 Lets Encrypt 的证书, Chrome 访问 HTTPS 正常,地址栏左边的小锁终于变成绿色。以前用 startSSL 的免费证书,小锁是灰色的。

    但是用 QQ 浏览器(移动版 6.4.0.2050 , Android )访问会提示证书不可信任。有 V 友是 QQ 浏览器项目组的么?与时俱进一下呗。
    第 1 条附言  ·  2016-01-31 15:29:32 +08:00
    试了其他几个浏览器,也是同样的问题。
    换了 samsung 的手机简单测试了一下,也是同样的问题。
    估计是 android 系统没有信任 lets encrypt 的证书,而这些浏览器都采用了系统的判断。
    第 2 条附言  ·  2016-01-31 18:06:05 +08:00
    感谢万能的 V 友,是 apache 配置有问题。 SSLCertificateFile 、 SSLCertificateKeyFile 、 SSLCertificateChainFile 都设置好就可以了。
    16 条回复    2016-01-31 18:03:30 +08:00
    AirSc
        1
    AirSc  
       2016-01-31 13:06:40 +08:00 via Android
    Android 版本是什么
    chromee
        2
    chromee  
       2016-01-31 13:11:27 +08:00 via Android
    安卓系统没有预置某些 CA 导致的 和浏览器并没有什么关系
    或者你没有配置完整的证书链
    Khlieb
        3
    Khlieb  
       2016-01-31 13:41:21 +08:00 via Android
    @chromee 安卓系统可以导入证书
    yylzcom
        4
    yylzcom  
       2016-01-31 13:45:11 +08:00
    initialdp
        5
    initialdp  
    OP
       2016-01-31 13:55:41 +08:00
    @AirSc Android 4.3. Huawei G620-L75
    AirSc
        6
    AirSc  
       2016-01-31 14:08:14 +08:00
    @initialdp 配置了 chain.pem 里的内容吗?
    jasontse
        7
    jasontse  
       2016-01-31 14:19:17 +08:00 via Android
    灰色的锁长什么样,表示没见过。
    SourceMan
        8
    SourceMan  
       2016-01-31 14:21:46 +08:00
    灰色的锁不是你自己的网页上混合了 HTTP 的资源吗?
    而且新的 chrome 也取消这个灰色的锁了,直接是普通的 icon
    initialdp
        9
    initialdp  
    OP
       2016-01-31 14:56:01 +08:00
    @AirSc 不明白这个是啥。 lets encrypt 创建的 live 目录下有这个文件。我需要做其他操作么?

    我是按照 https://letsencrypt.org/howitworks/ 文档里的步骤做的,采用 webroot 方式验证。


    @SourceMan 好吧,可能是个灰色的小页面标志,当时没仔细看。现在很明确是个绿色的小锁。
    Slienc7
        10
    Slienc7  
       2016-01-31 15:59:51 +08:00
    StartSSL 的灰色小锁应该是你的配置问题;
    LE 自己的根 CA 已经加到了主流浏览器 /系统的较新版本中,还用 IdenTrust 做了交叉验证, IdenTrust 在 Android2.x 和 WinXP 平台不被信任,其他情况下不被信任可能是证书链配置不完整。
    AirSc
        11
    AirSc  
       2016-01-31 16:08:40 +08:00
    @initialdp 把网站发来看下。
    just1
        12
    just1  
       2016-01-31 16:10:09 +08:00 via Android
    这个 ca 比较新,系统没内置在信任证书吧
    initialdp
        13
    initialdp  
    OP
       2016-01-31 16:32:42 +08:00
    Slienc7
        14
    Slienc7  
       2016-01-31 17:08:52 +08:00   ❤️ 1
    @initialdp LE 的 X1 中级证书没有加到证书链中。
    AirSc
        15
    AirSc  
       2016-01-31 17:39:53 +08:00 via Android   ❤️ 1
    @initialdp 缺少中级证书,就是我上面说的 chain 。或者你直接用那个 fullchain
    initialdp
        16
    initialdp  
    OP
       2016-01-31 18:03:30 +08:00
    @xgowex
    @AirSc
    非常感谢! 问题解决了!修改 apache 的配置,将下面的 SSLCertificateChainFile 加入进去就好了。
    SSLCertificateChainFile /etc/letsencrypt/live/minisipserver.com/chain.pem

    手工打造就是容易出问题啊。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2585 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 35ms · UTC 15:42 · PVG 23:42 · LAX 07:42 · JFK 10:42
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.