HTTP-SSL mit GoDaddy-Zertifikat: Unvollständige Zertifikatskette
Bei der Verwendung der SSL-Verschlüsselung in Go mithilfe von GoDaddy-Zertifikaten tritt ein häufiger Fehler auf: die unvollständige Zertifikatskette, was zu einer Höchstnote von B bei der SSL-Testanalyse führt.
Grund für den Fehler
Laut offizieller Dokumentation von Go unvollständiges Zertifikat Ketten treten auf, wenn das bereitgestellte Zertifikat nicht die Root-Autoritätszertifikate enthält. Wenn ein Webserver einem Client ein Zertifikat vorlegt, erwartet er, dass er die gesamte Zertifikatskette bis zur vertrauenswürdigen Stammzertifizierungsstelle erhält. Wenn Zwischenzertifikate oder das Stammzertifikat fehlen, kann der Client die Identität des Servers nicht validieren und die Zertifikatskette gilt als unvollständig.
Vorgeschlagene Lösung
Zur Behebung Befolgen Sie bei diesem Problem die folgenden Schritte:
-
Zwischen- und Stammzertifikate erhalten: Wenden Sie sich an Ihren Zertifikatsanbieter, in diesem Fall GoDaddy, um alle damit verbundenen Zwischen- und Stammzertifikate zu erwerben die Hauptzertifikatdatei. Zwischenzertifikate werden von der Stammzertifizierungsstelle ausgestellt und signieren das Serverzertifikat, während das Stammzertifikat die vertrauenswürdige Autorität ist, die von Webbrowsern erkannt wird.
-
Zertifikate verketten: Kombinieren Sie das Hauptzertifikat mit allen Zwischenzertifikaten Zertifikate und das Stammzertifikat in einer einzigen Datei. Diese Datei dient als vollständige Zertifikatskette, die von Ihrem Webserver verwendet werden soll.
-
Go-Code mit vollständiger Zertifikatsdatei aktualisieren:Ändern Sie Ihren Go-Servercode, um die aktualisierte Zertifikatsdatei zu verwenden, die das enthält vollständige Zertifikatskette. Stellen Sie mit der LoadX509KeyPair-Funktion sicher, dass der Pfad zur Zertifikatsdatei korrekt ist und dass sie ordnungsgemäß geladen wird.
-
Testen und validieren: Starten Sie Ihren Webserver neu und führen Sie einen SSL-Test mit einem Tool durch wie SSL Labs (https://www.ssllabs.com/ssltest/), um zu überprüfen, ob das Problem behoben wurde. Eine vollständige Zertifikatskette sollte zu einer erfolgreichen Validierung und einer verbesserten SSL-Testnote führen.
Zusätzliche Überlegungen
- Beim Verketten der Zertifikatsdateien Stellen Sie sicher, dass die Datei keine zusätzlichen Zeilenumbrüche oder Leerzeichen enthält. Formatierungsfehler können zu Parsing-Problemen führen.
- Erwägen Sie, zusätzliche Verschlüsselungssammlungen in Ihre TLS-Konfiguration aufzunehmen, um die Sicherheit zu erhöhen.
- Wie in der Go-Dokumentation angegeben, einschließlich des Stammzertifikats in der Zertifikatskette ist optional. Einige Systeme erwarten möglicherweise, dass das Stammzertifikat vorhanden ist, andere möglicherweise nicht.
Das obige ist der detaillierte Inhalt vonWarum verursacht das SSL-Zertifikat von GoDaddy eine unvollständige Zertifikatskette in Go-Anwendungen?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!