Chrome 无法在 OS X 上加载证书
Chrome failing to load certificate on OS X
用户报告说他们无法在 OS X 上查看 https://blog.za3k.com。
Chrome 和 Safari(使用 OS X 的根证书失败)。
Linux 和 Windows 的所有测试都没有问题。 Qualys SSL Labs 报告没有问题,除了 SHA1 签名。
Chrome 报告 NET::ERR_CERT_INVALID 如果我单击证书图标 -> 查看证书,我会看到 The data does not appear to be a valid certificate
Firefox 正确加载页面。
Safari 在访问页面时挂起。
OS X版本没有效果我看不出,不过我个人是10.10.1的。
curl https://blog.za3k.com 失败:
curl: (60) SSL certificate problem: Invalid certificate chain
More details here: http://curl.haxx.se/docs/sslcerts.html
curl performs SSL certificate verification by default, using a "bundle"
of Certificate Authority (CA) public keys (CA certs). If the default
bundle file isn't adequate, you can specify an alternate file
using the --cacert option.
If this HTTPS server uses a certificate signed by a CA represented in
the bundle, the certificate verification probably failed due to a
problem with the certificate (it might be expired, or the name might
not match the domain name in the URL).
If you'd like to turn off curl's verification of the certificate, use
the -k (or --insecure) option.
openssl s_client -connect blog.za3k.com:443 报告成功
根证书是 'StartCom',应该在 mac 上受信任。
关于如何调试的想法?
您在返回的证书数据中看到了什么?这里的事情有点奇怪——从桌面系统我看到为 'nanowrimo.za3k.com' 或 'za3k.com' 返回的证书(但 不是 博客。za3k.com) ,而显然 SSLLabs 看到了对博客有效的证书。za3k.com 和 za3k.com。可能是 DNS 别名问题,但实际上证书应该包含一个 SAN,无论您的意思是什么。
openssl s_client -connect blog.za3k.com:443 | openssl x509 -text
用户报告说他们无法在 OS X 上查看 https://blog.za3k.com。 Chrome 和 Safari(使用 OS X 的根证书失败)。
Linux 和 Windows 的所有测试都没有问题。 Qualys SSL Labs 报告没有问题,除了 SHA1 签名。
Chrome 报告 NET::ERR_CERT_INVALID 如果我单击证书图标 -> 查看证书,我会看到 The data does not appear to be a valid certificate
Firefox 正确加载页面。 Safari 在访问页面时挂起。 OS X版本没有效果我看不出,不过我个人是10.10.1的。
curl https://blog.za3k.com 失败:
curl: (60) SSL certificate problem: Invalid certificate chain
More details here: http://curl.haxx.se/docs/sslcerts.html
curl performs SSL certificate verification by default, using a "bundle"
of Certificate Authority (CA) public keys (CA certs). If the default
bundle file isn't adequate, you can specify an alternate file
using the --cacert option.
If this HTTPS server uses a certificate signed by a CA represented in
the bundle, the certificate verification probably failed due to a
problem with the certificate (it might be expired, or the name might
not match the domain name in the URL).
If you'd like to turn off curl's verification of the certificate, use
the -k (or --insecure) option.
openssl s_client -connect blog.za3k.com:443 报告成功
根证书是 'StartCom',应该在 mac 上受信任。
关于如何调试的想法?
您在返回的证书数据中看到了什么?这里的事情有点奇怪——从桌面系统我看到为 'nanowrimo.za3k.com' 或 'za3k.com' 返回的证书(但 不是 博客。za3k.com) ,而显然 SSLLabs 看到了对博客有效的证书。za3k.com 和 za3k.com。可能是 DNS 别名问题,但实际上证书应该包含一个 SAN,无论您的意思是什么。
openssl s_client -connect blog.za3k.com:443 | openssl x509 -text