信息安全 tls 证书 openssl 铬合金

2021-08-28 13:04:08

我有一个名为的网站www.goflyla.com，我从 RapidSSL 购买了启用了证书透明度的 SSL 证书。

SSLLabs 给出一条绿线Certificate Transparency: Yes (certificate)：

奇怪的是，这只发生在 Chrome（Mac 版）中。我仍然可以在 Windows 和 Ubuntu (Linux) Chrome 中访问我的网站，但是说the site supplied invalid Certificate Transparency information

检查chrome://net-internals并embedded_scts在那里：

我已将其范围缩小到 Chrome 版本 53。

我该怎么办？

2个回答

拙劣的 CT 编辑

根据 CT 查找站点（在此处存档），证书记录为?.goflyla.com. 这看起来很像试图编辑确切的域名。

不幸的是，该功能还没有完全标准化。所以它现在不起作用。（并且任何向日志提交编辑条目的尝试只会导致 Chrome 53 完全忽略该日志条目并说：未找到日志条目。--有关详细信息，请参阅下面链接的 SSLMate 博客文章。）

所以，你可以做什么？ - 我不确定。我猜两件事之一：

要求 RapidSSL 修复 CT 日志提交并使用未编辑的主机名重新提交。
购买不同的证书。而不是来自赛门铁克或子公司。-- 原因是赛门铁克因为找不到更好的词而被谷歌判处CT 记录每一个新证书（在此处存档）。-- （而且该要求似乎也适用于他们的子公司，如 RapidSSL。）而其他证书颁发机构根本不在该要求之下。

SSLMate 博客，2016-09-07，为什么 Chrome 53 拒绝大通银行的赛门铁克证书（在此处存档。）

尽管实际上不存在编校，但赛门铁克继续前进并将编校移植到证书透明度的原始版本中。结果是一个弗兰肯证书在不支持证书透明度的浏览器中运行良好，但无法在 Chrome 中验证。
没有编辑的日志条目：https ://crt.sh/?id=31180341&opt=cablint,x509lint
当天晚些时候的日志条目。有趣的是相同的序列号。我不知道该怎么做。现在还有“？”的奇怪编辑尝试。而不是“www”：https ://crt.sh/?id=30754735&opt=x509lint,cablint

问题不在于您的网站，而在于 Chrome 53。许多网站都受到了影响。

其它你可能感兴趣的问题