SSL android 4.3

certificate, chrome, handshake, https, ssl

0

2

На старых(тестил на 4.3) андроид не работает cайт по https.

Браузер пишет:

this certificate isn't from a trusted authority

Вроде как не хватает промежуточного сервера(или о корневом не знает?) в цепочке сертификатов. Сертификат покупал, все цепочки запихал в файлик и скормил nginx.

openssl s_client -connect site.com:443
CONNECTED(00000003)
depth=2 C = US, ST = New Jersey, L = Jersey City, O = The USERTRUST Network, CN = USERTrust RSA Certification Authority
verify return:1
depth=1 C = GB, ST = Greater Manchester, L = Salford, O = Sectigo Limited, CN = Sectigo RSA Domain Validation Secure Server CA
verify return:1
depth=0 OU = Domain Control Validated, OU = PositiveSSL, CN = site.com
verify return:1
---
Certificate chain
 0 s:/OU=Domain Control Validated/OU=PositiveSSL/CN=site.com
   i:/C=GB/ST=Greater Manchester/L=Salford/O=Sectigo Limited/CN=Sectigo RSA Domain Validation Secure Server CA
 1 s:/C=GB/ST=Greater Manchester/L=Salford/O=Sectigo Limited/CN=Sectigo RSA Domain Validation Secure Server CA
   i:/C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust RSA Certification Authority
 2 s:/C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust RSA Certification Authority
   i:/C=US/ST=New Jersey/L=Jersey City/O=The USERTRUST Network/CN=USERTrust RSA Certification Authority

Что делать?

Ссылка

←	Программы X сервера на сайте

Redmine + GitLab

→

Проверь, есть ли корневой сертификат от твоего сайта в доверенных сертификатах на этом устройстве.

Кто у тебя «корневой»? Может быть он тупо выпущен даже позже, чем залита прошивка на телефон - всё-таки андроид 4.3 - это старая штука.

Qasta ★
(20.02.19 18:16:15 MSK)

Ответ на: комментарий от Qasta 20.02.19 18:16:15 MSK

Да, нет корневого в этом андроиде

gobot ★★★★
(25.02.19 17:34:15 MSK) автор топика

Ответ на: комментарий от gobot 25.02.19 17:34:15 MSK

Ну тогда вы полностью «зелёным» этот сайт никак не сделаете.

Частично - можно установить корневой сертификат (самоподписанный) в настройках телефона (раздел Безопасность - Сертификаты или типа того). К сожалению, всё-таки такие сертификаты отличаются от установленных в прошивке. Поэтому, если есть возможность, то лучше установить внутрь прошивки, инструкция есть, например, вот тут - http://wiki.cacert.org/FAQ/ImportRootCert

Есть альтернативный вариант - воспользоваться другим браузером (IceCat или другой на основе Mozilla Firefox). У них можно «постоянно подтвердить исключение безопасности». Может быть даже можно и сертификаты корневые установить - это я уже точно не скажу, надо по меню полазить.

Qasta ★
(25.02.19 18:23:00 MSK)