让我们加密证书在 Firefox 上不受信任

Let's Encrypt certificate not trusted on Firefox

我刚刚使用 letsencrypt-win-simple.V1.9.1 在 IIS 8 (Windows Server 2012) 中添加了证书。在 Google Chrome 中没有问题,但在 Firefox 中连接不受信任。

我遵循了本教程:https://weblog.west-wind.com/posts/2016/feb/22/using-lets-encrypt-with-iis-on-windows#TheEasyWay:LetsEncrypt-Win-Simple .

粗略检查后,您似乎安装并配置了有效的 SSL 证书。然而,由 Qualsys SSL Labs 工具提供的更彻底的分析暴露了一些问题:https://www.ssllabs.com/ssltest/analyze.html?d=beta.gplay.ro&latest

首先,与证书直接相关,您的服务器不向客户端提供证书链,仅提供域证书。这需要他们自己去下载 Lets Encrypt Authority X3 证书,以便将链重建回 DST Root CA X3。任何在其信任库中没有该中间证书并且未能成功下载副本的客户端都将无法通过验证。

其次,您的服务器启用了对 SSLv3 的支持,这已被弃用并被视为安全风险,因为它会使服务器面临大量漏洞,例如 POODLE。您还启用了对几个非常弱的密码的支持,但这无济于事。

我建议将 IIS 配置为提供完整的证书链,而不仅仅是域证书,并尽可能禁用对 SSLv3 的支持。如果之后 Firefox 仍然不喜欢您的证书,则可能需要进行更深入的故障排除。

上面的答案对我找到解决方案帮助很大。

我使用 Certify: https://certify.webprofusion.com/ 安装了证书并且它有效。

关于过时的协议... 下载 IIS 加密: https://www.nartac.com/Products/IISCrypto

点击最佳实践(它会自动 select 推荐的协议和密码)并应用。然后重新启动您的服务器,一切都已修复。