Защищенное Соединение Через Ssl

future_chelny · 24.Ноябрь.2015 00:00:00

Добрый день! Возник вопрос о соединение через SSL.

Установку сертификатов произвел, установил галочки в CS-Cart. Все вроде работает, т.е. замочек рядом рисуется, и вроде все ок. Возникла проблема. В обычной версии десктопной из разных браузеров все нормально открывается. Но я пока еще не тестировал на разных мобильных OS, но например на Android в браузере когда захожу на свой сайт пишет предупреждение "Угроза безопасности" "У этого сайта проблемы с сертификатом безопасности" и варианты действий: назад, посмотреть сертификат, и продолжить. Если нажать продолжить сайт загрузится и все ок. Что я сделал не так, или проблема в конфиге? или в сервере?

gleb.goncharov · 24.Ноябрь.2015 00:00:00

Добрый день! Возник вопрос о соединение через SSL.

Установку сертификатов произвел, установил галочки в CS-Cart. Все вроде работает, т.е. замочек рядом рисуется, и вроде все ок. Возникла проблема. В обычной версии десктопной из разных браузеров все нормально открывается. Но я пока еще не тестировал на разных мобильных OS, но например на Android в браузере когда захожу на свой сайт пишет предупреждение "Угроза безопасности" "У этого сайта проблемы с сертификатом безопасности" и варианты действий: назад, посмотреть сертификат, и продолжить. Если нажать продолжить сайт загрузится и все ок. Что я сделал не так, или проблема в конфиге? или в сервере?

Добрый день.

Скорее всего проблемы с сертификатом. Причины самые разные:

1. Сертификаты, выписанные с SHA-1 вместо SHA-2 будут помечаться как небезопасные. Речь идёт уже не только о мобильных устройствах, но и о поисковых системах и браузерах.

2. Сертификаты без цепочки вышестоящих серверов могут помечаться как недоверенные в разных браузерах и устройствах.

3. Вероятно, ваш Android не содержит корневого сертификата центра, выписавшего вам сертификат. Вы никак не сможете повлиять на это, пользуйтесь услугами проверенных центров.

Однако это может быть связано с выбором протокола на сервере. Свежие версии ОС предупреждают об использовании SSLv3, считающегося небезопасным. Также это может быть сигналом к неверной настройке сервера, допускающего «даунгрейд» протокола.

Пришлите адрес вашего сайта, это будет несложно проверить.

future_chelny · 24.Ноябрь.2015 00:00:00

Спасибо за информацию! Вот ссылка на мой сайт: http://продуктыдома.онлайн

gleb.goncharov · 24.Ноябрь.2015 00:00:00

Спасибо за информацию! Вот ссылка на мой сайт: http://продуктыдома.онлайн

У вас неполная цепочка сертификатов. Вам необходимо добавить следующий сертификат в цепочку: http://secure.globalsign.com/cacert/gsdomainvalsha2g2r1.crt.

$ openssl s_client -servername xn--80ahaxliddjxj2h.xn--80asehdb -connect xn--80ahaxliddjxj2h.xn--80asehdb:443
CONNECTED(00000003)
depth=0 /C=RU/OU=Domain Control Validated/CN=www.xn--80ahaxliddjxj2h.xn--80asehdb
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 /C=RU/OU=Domain Control Validated/CN=www.xn--80ahaxliddjxj2h.xn--80asehdb
verify error:num=27:certificate not trusted
verify return:1
depth=0 /C=RU/OU=Domain Control Validated/CN=www.xn--80ahaxliddjxj2h.xn--80asehdb
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
 0 s:/C=RU/OU=Domain Control Validated/CN=www.xn--80ahaxliddjxj2h.xn--80asehdb
   i:/C=BE/O=GlobalSign nv-sa/CN=GlobalSign Domain Validation CA - SHA256 - G2
 1 s:/C=BE/O=GlobalSign nv-sa/OU=Root CA/CN=GlobalSign Root CA
   i:/C=BE/O=GlobalSign nv-sa/OU=Root CA/CN=GlobalSign Root CA

Как можно заметить, сертификат "C=RU/OU=Domain Control Validated/CN=www.xn--80ahaxliddjxj2h.xn--80asehdb" был выписан с помощью "/C=BE/O=GlobalSign nv-sa/CN=GlobalSign Domain Validation CA - SHA256 - G2", но его подлинность подтвердить некому — следующим идёт сразу корневой сертификат GlobalSign.

gleb.goncharov · 24.Ноябрь.2015 00:00:00

Обратите внимание на настройку сервера. Это безобразие: уязвимость как минимум к двум атакам, поддержка шифра RC4 и отсутствие PFS. https://www.ssllabs.com/ssltest/analyze.html?d=xn--80ahaxliddjxj2h.xn--80asehdb

future_chelny · 01.Декабрь.2015 00:00:00

спасибо разобрался, оказывается в корневой сертификат забыл добавить промежуточный сертификат и как оказалось нужно в одном файле сохранить, сначало промежуточный и в конце корневой. после этого в андройд браузере перестал ругаться, а вот уязвимости указанные Вами, еще до них не дошел...

future_chelny · 01.Декабрь.2015 00:00:00

... спасибо, разобрался, конфиг обновил, плюс библиотеку OpenSSL на сервере тоже обновил

в итоге рейтинг Overall Rating стал A

Спасибо что указали в каком направлении рыть.

kaavain · 24.Декабрь.2015 00:00:00

Можно такой (дурацкий) вопрос?

www.stencil-library.ru

Для неких экспериментов установил сертификат. Хочу чтобы сайт продолжал как и раньше работать по http но при этом также виден был бы по https.

При обращении https на главную, например, происходит моментальный редирект на http - то есть браузер сертификат принимает нормально, но после этого все страницы видны по http.

Это виноват хостинг? Или настройка в движке? Или то, что я хочу - в принципе невоможно?

ecomlabs · 24.Декабрь.2015 00:00:00

На странице Настройки -> Настройки безопасности попробуйте поставить

Безопасное соединение для витрины в Включить для страниц профиля и оформления заказа

Сохранять безопасное соединение после первого посещения защищенной страницы в Да

Возможно, поможет

kaavain · 24.Декабрь.2015 00:00:00

На странице Настройки -> Настройки безопасности попробуйте поставить

Сохранять безопасное соединение после первого посещения защищенной страницы в Да

Возможно, поможет

Гранд мерси! Достаточно оказалось только этого пункта. Правда нигде не показывается что соединение безопасное, возможно - потому что сертификат триальный. Но в строек браузера ХТТПС!