Home Sign Up Sign In
herozzm
V2EX  ›  问与答

Let's Encrypt 签发的证书在 xp 系统访问失败

  •   
  •   herozzm · Feb 23, 2020 · 3162 views
    This topic created in 2278 days ago, the information mentioned may be changed or developed.

    其他系统都正常,是 sha256 的,我看微软的 ssl 证书也是 sha256 可以正常访问,有人知道为什么吗?
    提示:This site can’t provide a secure connection ... uses an unsupported pro

    Supplement 1  ·  Feb 23, 2020
    找到了解决方案,xp 下不支持 ecc 证书,要使用双证书
    https://imququ.com/post/ecc-certificate.html
  • sha256
  • 证书
  • SSL
  • uses
    28 replies    2020-02-24 04:19:13 +08:00
    malusama
        1
    malusama  
       Feb 23, 2020
    系统没有内置根证书?
    herozzm
        2
    herozzm  
    OP
       Feb 23, 2020
    @malusama 啥意思没明白
    seki
        3
    seki  
       Feb 23, 2020   ❤️ 1
    xp 系统不认识 letsencrypt 的根证书和中间证书
    换用自己管理证书的浏览器应该能可以,比如 firefox
    fengtons
        4
    fengtons  
       Feb 23, 2020 via Android   ❤️ 1
    我猜需要更新 CA 证书,毕竟 XP 够老了,可能没有收录 Let's Encrypt
    herozzm
        5
    herozzm  
    OP
       Feb 23, 2020
    @seki 用的是 chrome 访问失败,我试试火狐
    herozzm
        6
    herozzm  
    OP
       Feb 23, 2020
    @malusama
    @seki
    @fengtons
    为什么这个网 https://imququ.com/ 也是用的 let's 的证书,却可以访问?
    malusama
        7
    malusama  
       Feb 23, 2020
    不如把你的网站发出来
    seki
        8
    seki  
       Feb 23, 2020
    @herozzm 手头没有 xp 系统。你可以浏览器里面查看你的网站的证书信息,看看是哪里不被信任
    mayx
        9
    mayx  
       Feb 23, 2020 via Android
    可能加密算法不支持?
    mayx
        10
    mayx  
       Feb 23, 2020 via Android
    用 ssl3 试试?
    herozzm
        11
    herozzm  
    OP
       Feb 23, 2020
    @malusama https://www.fzzhaobiao.com
    LokiSharp
        12
    LokiSharp  
       Feb 23, 2020
    这里有文档 https://letsencrypt.org/zh-cn/docs/certificate-compatibility/

    这里可以测兼容性 https://www.ssllabs.com/ssltest/
    seki
        13
    seki  
       Feb 23, 2020
    https://www.ssllabs.com/ssltest 看了一下,看起来是服务器配置问题,第二证书不匹配
    herozzm
        14
    herozzm  
    OP
       Feb 23, 2020
    @seki
    怎么看的?我就看到 ie6/xp 下不行
    申请下来一堆证书,fullchain.cer 和域名.xx 一堆后缀,我就用了 fullchain.cer 和域名.key 两个
    Laforet
        15
    Laforet  
       Feb 23, 2020 via Android
    XP 自带的 TLS 库最大的问题是不支持 SNI
    herozzm
        16
    herozzm  
    OP
       Feb 23, 2020
    @Laforet 我删除其他的证书了,一个服务器上就一个域名证书
    eason1874
        17
    eason1874  
       Feb 23, 2020
    不关证书的事。

    先确认协议,IE 6 默认没有开 TLS,默认最高是 SSLv3 ;其次确认通过 IP 访问可以获取到证书,因为 XP 系统 IE 浏览器不支持 SNI,IE 6 获取证书是通过 https://ip 去获取的。你可以在 chrome 浏览器打开这个链接去确认,因为你的证书里没有 IP 地址,chrome 会提示你证书错误并返回证书包括的域名,你看证书域名是不是你这个就行了。
    eason1874
        18
    eason1874  
       Feb 23, 2020   ❤️ 1
    补充一下,IE 6 默认没有开 TLS,但在绝大部分用户的实际使用环境中都是开了的,不知道是安全软件帮他们开的还是其他浏览器帮他们开的,我提这个只是提醒你要测试的话,得注意这一点。在浏览器设置里可以更改允许的协议。

    要完全兼容 IE6 的话,得给 ssl_protocols 加上 SSLv3,密码套件的话,好像有 RSA+AES 就可以。按我说的排查准没错,我之前网站就是兼容 IE 6,也用的 Let's Encrypt 证书。
    herozzm
        19
    herozzm  
    OP
       Feb 23, 2020
    @eason1874 xp 下不支持 ecc 证书,使用了双证书,现在是 xp+ie8 不能访问
    eason1874
        20
    eason1874  
       Feb 23, 2020
    @herozzm #19 一样的,XP 系统下的 IE 都不支持 SNI,都需要能通过 IP 获取证书。只是我说的情况是 RSA 证书,没想到你用了 ECC 证书。

    如果在 XP 下 IE6 能访问了,那 IE8 也应该可以,你先清理缓存试试。
    herozzm
        21
    herozzm  
    OP
       Feb 23, 2020
    @eason1874 没有,我能在 xp 下访问的仅是老版本的 chrome 而已,ie6 直接放弃了,现在仅需要适配 ie8 即可,好像无法开启 sslv3,ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2; 不行
    eason1874
        22
    eason1874  
       Feb 23, 2020
    @herozzm #21 哪个系统的 IE 8 都默认开启 TLSv1 了,所以这个协议不成问题。

    你先用 chrome 访问 https://你的服务器 IP 这个链接,chrome 会提示“您的连接不是私密连接”,然后你点高级,看看"其安全证书来自"后面那个域名是不是你的网站域名,不是就说明是 SNI 问题。那你得给 IP 配置个 443 的 default_server,证书是你网站域名证书,或者给你网站配置加上 default_server。

    listen 443 ssl http2 default_server

    注意,如果你用了 CDN,那就不用看了,肯定是 SNI 问题。用 CDN 就无解了,因为 CDN 不会单独给你 IP 用。
    herozzm
        23
    herozzm  
    OP
       Feb 23, 2020
    @eason1874 好吧 哪算了,直接抛弃了 ie6-ie8,nginx 遇到直接跳 http,其他还是 https,目前只能这么办
    vocaloid
        24
    vocaloid  
       Feb 23, 2020
    一般来说用 firefox 可解
    beyondex
        25
    beyondex  
       Feb 23, 2020 via Android
    就是不支持 xp 的。
    zeocax
        26
    zeocax  
       Feb 23, 2020 via Android
    @malusama @seki @fengtons
    目前 Let's encrypt 签发证书的证书链的根证书仍然还是由另一家 CA 机构交叉签名的,兼容 XP 没有问题。考虑到兼容问题,Let's encrypt 的安排是在 2022 年才使用自己的根证书。
    seki
        27
    seki  
       Feb 23, 2020
    @herozzm 你看一下 certificate #2 那部分,证书签发的域名不匹配
    webshe11
        28
    webshe11  
       Feb 24, 2020
    好惨一程序员,2020 年还在支持 XP
    About   ·   Help   ·   Advertise   ·   Blog   ·   API   ·   FAQ   ·   Solana   ·   5160 Online   Highest 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 51ms · UTC 08:01 · PVG 16:01 · LAX 01:01 · JFK 04:01
    ♥ Do have faith in what you're doing.