Почему вылазит ошибка на мобильных девайсах при SSL?

Question

[Данил]

Подключил SSL сертификат от StartSSL, на дестопах все ок, на мобильных (в хроме) вылазит ошибка NET::ERR_CERT_AUTHORITY_INVALID
Просканил свой домен через https://www.ssllabs.com/ssltest/analyze.html, получил след инфу:

This server is vulnerable to the POODLE attack. If possible, disable SSL 3 to mitigate. Grade capped to C. 
This server accepts RC4 cipher, but only with older protocol versions. Grade capped to B.
The server does not support Forward Secrecy with the reference browsers.
This server's certificate chain is incomplete. Grade capped to B.

Подскажите, может ли что-то из этого вызывать ошибку? Если да, то как поправить?
Апликейшн на nodejs+express.

Answer 1

[CityCat4]

Да здесь все сплошная ошибка. И даже не одна.

Ошибка первая CERT_AUTHORITY_INVALID означает, что УЦ, выпустивший Вам сертификат, отсутствует в списке корневых УЦ, сертификаты которых являются доверенными. Поди, на LetsEncrypt брали? Уж сколько раз твердили миру - если делаете продающий сайт, да еще заточенный под мобильные устройства, закладывайте в бюджет покупку сертификата, а не то будете вот так вот спрашивать. Ваш сертификат выпустило неизвестное мобильному устройству УЦ, к которому нет доверия, соответственно нет доверия к сертификату.

Ошибка вторая This server is vulnerable to the POODLE attack. Возникает, когда сканер безопасности видит, что сервер принимает соединения по протоколу SSLv3. Вам необходимо запретить семейство протоколов SSLv3, читайте документацию как это сделать

Ошибка третья This server accepts RC4 cipher. Возникает, когда сервер принимает среди прочих шифров шифр RC4, который давно считается ненадежным. Необходимо так настроить шифронаборы, чтобы исключить его использование

Ошибка четвертая :) This server does not support Forward Secrecy. Возникает, когда среди шифронаборов сервера не обнаружены наборы с PFS - Perfect Forward Secrecy. Соответственно, нужно подобрать шифронаборы так, чтобы шифры с PFS использовались. Вы, к сожалению не указали, что там у Вас - апач, nginx, поэтому примеры конфигов с шифронаборами привести не могу.

Comments

[Данил]

1. Брал на Start SSL. Если куплю то ошибка исчезнет? 4. — сайт на nodejs, просто через app.listen(3000)

[CityCat4]

Данил: Первая ошибка должна исчезнуть, если взять сертификат от какого-либо общеизвестного УЦ - Thawte, Comodo. Для физика с упрощенной проверкой хорошо пойдет Thawte 123. Вторая и далее - исчезнут только после правильной настройки сайта, УЦ и сертификат вообще на них никак не повлияет

[CityCat4]

Данил: NodeJS - не сервер, а фреймворк, сервером может быть апач, nginx или же экзотика какая-нибудь. Соответственно, для разных серверов разные настройки для решения проблем.

Answer 2

[Дмитрий Скогорев]

в рамках https.createServer добавьте
secureOptions: constants.SSL_OP_NO_SSLv3

Comments

[Данил]

Спасибо, а подскажешь как это вписать в https://jsfiddle.net/Lnmedz0u/ ? А то я не понял где должен быть secureOptions.