LINUX.ORG.RU

SSL android 4.3

 , , , ,


0

2

На старых(тестил на 4.3) андроид не работает cайт по https.

Браузер пишет:

this certificate isn't from a trusted authority


Вроде как не хватает промежуточного сервера(или о корневом не знает?) в цепочке сертификатов. Сертификат покупал, все цепочки запихал в файлик и скормил nginx.

openssl s_client -connect site.com:443
CONNECTED(00000003)
depth=2 C = US, ST = New Jersey, L = Jersey City, O = The USERTRUST Network, CN = USERTrust RSA Certification Authority
verify return:1
depth=1 C = GB, ST = Greater Manchester, L = Salford, O = Sectigo Limited, CN = Sectigo RSA Domain Validation Secure Server CA
verify return:1
depth=0 OU = Domain Control Validated, OU = PositiveSSL, CN = site.com
verify return:1
---
Certificate chain
 0 s:/OU=Domain Control Validated/OU=PositiveSSL/CN=site.com
   i:/C=GB/ST=Greater Manchester/L=Salford/O=Sectigo Limited/CN=Sectigo RSA Domain Validation Secure Server CA
 1 s:/C=GB/ST=Greater Manchester/L=Salford/O=Sectigo Limited/CN=Sectigo RSA Domain Validation Secure Server CA
   i:/C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust RSA Certification Authority
 2 s:/C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust RSA Certification Authority
   i:/C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust RSA Certification Authority


Что делать?

★★★

Проверь, есть ли корневой сертификат от твоего сайта в доверенных сертификатах на этом устройстве.

Кто у тебя «корневой»? Может быть он тупо выпущен даже позже, чем залита прошивка на телефон - всё-таки андроид 4.3 - это старая штука.

Qasta ()
Ответ на: комментарий от gobot

Ну тогда вы полностью «зелёным» этот сайт никак не сделаете.

Частично - можно установить корневой сертификат (самоподписанный) в настройках телефона (раздел Безопасность - Сертификаты или типа того). К сожалению, всё-таки такие сертификаты отличаются от установленных в прошивке. Поэтому, если есть возможность, то лучше установить внутрь прошивки, инструкция есть, например, вот тут - http://wiki.cacert.org/FAQ/ImportRootCert

Есть альтернативный вариант - воспользоваться другим браузером (IceCat или другой на основе Mozilla Firefox). У них можно «постоянно подтвердить исключение безопасности». Может быть даже можно и сертификаты корневые установить - это я уже точно не скажу, надо по меню полазить.

Qasta ()