QQ 浏览器不信任 Lets Encrypt？

This topic created in 3766 days ago, the information mentioned may be changed or developed.

昨天将网站改成用 Lets Encrypt 的证书， Chrome 访问 HTTPS 正常，地址栏左边的小锁终于变成绿色。以前用 startSSL 的免费证书，小锁是灰色的。

但是用 QQ 浏览器（移动版 6.4.0.2050 ， Android ）访问会提示证书不可信任。有 V 友是 QQ 浏览器项目组的么？与时俱进一下呗。

Supplement 1 · Jan 31, 2016

试了其他几个浏览器，也是同样的问题。
换了 samsung 的手机简单测试了一下，也是同样的问题。
估计是 android 系统没有信任 lets encrypt 的证书，而这些浏览器都采用了系统的判断。

Supplement 2 · Jan 31, 2016

感谢万能的 V 友，是 apache 配置有问题。 SSLCertificateFile 、 SSLCertificateKeyFile 、 SSLCertificateChainFile 都设置好就可以了。

encrypt

lets

浏览器

16 replies • 2016-01-31 18:03:30 +08:00

AirSc

Jan 31, 2016 via Android

Android 版本是什么

chromee

Jan 31, 2016 via Android

安卓系统没有预置某些 CA 导致的和浏览器并没有什么关系
或者你没有配置完整的证书链

Khlieb

Jan 31, 2016 via Android

@chromee 安卓系统可以导入证书

yylzcom

Jan 31, 2016

https://www.ssllabs.com/ssltest/
测试一下看看

initialdp

Jan 31, 2016

@AirSc Android 4.3. Huawei G620-L75

AirSc

Jan 31, 2016

@initialdp 配置了 chain.pem 里的内容吗？

jasontse

Jan 31, 2016 via Android

灰色的锁长什么样，表示没见过。

SourceMan

Jan 31, 2016

灰色的锁不是你自己的网页上混合了 HTTP 的资源吗？
而且新的 chrome 也取消这个灰色的锁了，直接是普通的 icon

initialdp

Jan 31, 2016

@AirSc 不明白这个是啥。 lets encrypt 创建的 live 目录下有这个文件。我需要做其他操作么？

我是按照 https://letsencrypt.org/howitworks/ 文档里的步骤做的，采用 webroot 方式验证。

@SourceMan 好吧，可能是个灰色的小页面标志，当时没仔细看。现在很明确是个绿色的小锁。

Slienc7

Jan 31, 2016

StartSSL 的灰色小锁应该是你的配置问题；
LE 自己的根 CA 已经加到了主流浏览器 /系统的较新版本中，还用 IdenTrust 做了交叉验证， IdenTrust 在 Android2.x 和 WinXP 平台不被信任，其他情况下不被信任可能是证书链配置不完整。

AirSc

Jan 31, 2016

@initialdp 把网站发来看下。

just1

Jan 31, 2016 via Android

这个 ca 比较新，系统没内置在信任证书吧

initialdp

Jan 31, 2016

@AirSc https://www.minisipserver.com

Slienc7

Jan 31, 2016

@initialdp LE 的 X1 中级证书没有加到证书链中。

AirSc

Jan 31, 2016 via Android

@initialdp 缺少中级证书，就是我上面说的 chain 。或者你直接用那个 fullchain

initialdp

Jan 31, 2016

@xgowex
@AirSc
非常感谢！问题解决了！修改 apache 的配置，将下面的 SSLCertificateChainFile 加入进去就好了。
SSLCertificateChainFile /etc/letsencrypt/live/minisipserver.com/chain.pem

手工打造就是容易出问题啊。