我最近遇到了今年 5 月 30 日到期的 Sectigo 根证书问题:https ://gist.github.com/minaguib/c8db186af450bceaaa7c452ba6a9901b
我更新了我们服务器上的证书链,除了一个用户之外,所有员工和用户的更改都是无缝的。
遇到问题的单个用户正在为我们的网站加载无效链。下面有截图。
服务器端注意事项:
- 服务器已更新并确认证书和链正常运行(附截图)。
- 我有一个客户端仍在加载无效的证书链。
- 终止 TLS 的服务器是一个 Amazon ALB 实例。
- 服务器证书链已使用在线服务进行了验证,以确保安全。下面有一个屏幕截图显示了这一点。
客户端注释:
删除了 Mac 钥匙串中的任何“过期”或“无效”条目。
在 Mac 钥匙串中搜索对“AddTrust”的任何引用
完全清除所有浏览器缓存。Chrome 是最新版本 83.0.4103.97 (但是 Safari 也失败了,所以它不是我不认为的浏览器)
检查日期/时间
以下是最终用户在浏览器证书链中看到的内容:
以下是其他人在浏览我们的网站时看到的内容:
这是来自 3rd 方在线服务的验证,以确认链的有效性:
想通了。
用户使用的是没有现代根 CA 的 MacOS 10.11 (El Capitan),Apple 在 2019 年停止更新操作系统。
因此,Mac 钥匙串没有更新的根 CA,因此我的站点证书不受信任。
受影响最大的客户:
更多细节: