证书链在 Firefox 中不可见

Certificate chain not visible in Firefox

我们已经在负载均衡器上安装了证书链。当我们在 chrome 中访问该站点时,我们没有遇到任何问题并且链可见。

但是,在某些版本的 Firefox 中,不显示证书链,因此我们得到 "The connecting is untrusted error"。

可能是什么原因造成的,我们已经清除了缓存。但是证书没有随链一起显示。

如果服务器(或在本例中为负载平衡器)未(完全)发送链,则通常会出现这种情况。 Chrome 自己寻找这个丢失的链证书,而 Firefox 不会。但是 Firefox 会缓存来自早期连接到其他站点的中间证书,因此如果之前访问了正确的站点,则 Firefox 已经知道丢失的证书并将用于完成信任链。但是,如果您使用新的 Firefox 配置文件,则不会缓存任何证书,因此您会收到验证错误。

浏览器不是检查服务器实际发送的内容的好工具。更好的工具是 openssl s_client。如果站点 public 可访问,您还可以根据 SSLabs 检查它,这也会显示服务器发送的链是否不完整以及链中缺少哪些证书。