当前位置：文江博客话题详情

iPhone 上的 SSL 问题

发布于 2024-08-16 19:00:31 字数 223 浏览 2 评论 0原文

我已将 SSL 证书（来自 godaddy，但也尝试过 Rapidssl）添加到网站。

Safari 和 IE 都可以浏览到 https:// 并报告证书有效，且不会出现警告。但是，如果我尝试从 iPhone 浏览到同一地址，则会收到无效证书错误。我使用 heroku 作为相关网站的主机。

有人见过这个吗？我很困惑为什么 2 部不同的 iphone 无法做到这一点，但桌面浏览器就很好......

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

甜心 2024-08-23 19:00:31

这里的问题是 iPhone 不支持服务器名称指示 (SNI)，而这是让 Heroku 的 SNI SSL 正常工作所必需的。（编辑）iOS 3.2 及以上版本现在支持它。

您可以通过手机上的 Safari 访问以下 URL 来确认 SNI：

https://sni.velox.ch

我发现我可以在 iphone 客户端中设置以下 SSL 设置：

kCFStreamSSLPeerName = Null

...这解决了问题。但我还没有弄清楚这如何影响安全性 - 文档不是很清楚。

据我了解，当您在 Heroku 等云主机上设置自定义域时，它会指向代理，并且该名称与您的证书主机名不匹配。 Safari 和 IE 等浏览器支持 SNI，并且知道如何解决这一问题 - 但手机不支持。

正如我上面所说，现在这不再是一个问题，除非您支持 iOS 3.1.3 或更低版本...

回复收藏 0 原文

空城缀染半城烟沙 2024-08-23 19:00:31

您还需要引用中间证书，以便将整个证书链返回到根证书。

请参阅此博文了解相同问题的描述以及他如何为 Apache 解决该问题。

回复收藏 0 原文

如果没结果 2024-08-23 19:00:31

仅仅是因为这两个证书颁发机构不在 iPhone 的受信任证书存储中，但它们适用于 Windows、Firefox 等。

编辑：

我猜前面的海报是正确的，您没有捆绑中间证书。您的证书可能已由rapidssl.com 签名，但rapidssl.com 的证书是由Equifax 签名的。每个证书都有一个颁发者名称字段和一个主题名称字段；将它们视为一对名称 (X,Y)。您的证书的主题名称反映了您的网站名称，并且由rapidssl 签名，因此该对类似于（rapidssl，www.whatever.com）。 Rapidssl 证书由Equifax 签署，因此这将成为一对（Equifax、rapidssl）。并且Equifax证书可能有（Equifax，Equifax）。根证书应具有相同的颁发者和主题名称。正如您所看到的，这形成了一条 (A,A) (A,B) (B,C) (C,D) .... 形式的链，无论它持续多久。它很少超过 3。SSL 的规则是您应该发送链中的每个证书，除了根证书。有些客户可能已经拥有中间证书，但您永远不应该指望它。

回复收藏 0 原文

梦萦几度 2024-08-23 19:00:31

我知道这个问题已经得到解答，但为了以防万一有人再次遇到这个问题，我想我会分享我错过的东西，因为我最近刚刚经历了同样的头痛，但架构略有不同。

我们的服务器设置有点不同，因为我们有 stunnel 解密 ssl 流量，将其传递到 haproxy，后者将其路由到 apache，后者将其代理到我们的应用程序服务器。在与 apache 搞乱了一段时间后，我意识到 stunnel 配置不包含中间证书，因此我连接了域证书（首先），然后连接了中间证书（以形成一个大的长证书链）。

这解决了我的问题。

回复收藏 0 原文

~没有更多了~