Задать вопрос
Veneomin
@Veneomin

Почему вылазит ошибка на мобильных девайсах при SSL?

Подключил SSL сертификат от StartSSL, на дестопах все ок, на мобильных (в хроме) вылазит ошибка NET::ERR_CERT_AUTHORITY_INVALID
Просканил свой домен через https://www.ssllabs.com/ssltest/analyze.html, получил след инфу:
This server is vulnerable to the POODLE attack. If possible, disable SSL 3 to mitigate. Grade capped to C. 
This server accepts RC4 cipher, but only with older protocol versions. Grade capped to B.
The server does not support Forward Secrecy with the reference browsers.
This server's certificate chain is incomplete. Grade capped to B.

Подскажите, может ли что-то из этого вызывать ошибку? Если да, то как поправить?
Апликейшн на nodejs+express.
  • Вопрос задан
  • 2067 просмотров
Подписаться 1 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 2
CityCat4
@CityCat4 Куратор тега Цифровые сертификаты
//COPY01 EXEC PGM=IEBGENER
Да здесь все сплошная ошибка. И даже не одна.

Ошибка первая CERT_AUTHORITY_INVALID означает, что УЦ, выпустивший Вам сертификат, отсутствует в списке корневых УЦ, сертификаты которых являются доверенными. Поди, на LetsEncrypt брали? Уж сколько раз твердили миру - если делаете продающий сайт, да еще заточенный под мобильные устройства, закладывайте в бюджет покупку сертификата, а не то будете вот так вот спрашивать. Ваш сертификат выпустило неизвестное мобильному устройству УЦ, к которому нет доверия, соответственно нет доверия к сертификату.

Ошибка вторая This server is vulnerable to the POODLE attack. Возникает, когда сканер безопасности видит, что сервер принимает соединения по протоколу SSLv3. Вам необходимо запретить семейство протоколов SSLv3, читайте документацию как это сделать

Ошибка третья This server accepts RC4 cipher. Возникает, когда сервер принимает среди прочих шифров шифр RC4, который давно считается ненадежным. Необходимо так настроить шифронаборы, чтобы исключить его использование

Ошибка четвертая :) This server does not support Forward Secrecy. Возникает, когда среди шифронаборов сервера не обнаружены наборы с PFS - Perfect Forward Secrecy. Соответственно, нужно подобрать шифронаборы так, чтобы шифры с PFS использовались. Вы, к сожалению не указали, что там у Вас - апач, nginx, поэтому примеры конфигов с шифронаборами привести не могу.
Ответ написан
EnterSandman
@EnterSandman
Эникей
в рамках https.createServer добавьте
secureOptions: constants.SSL_OP_NO_SSLv3
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы