Continuando con la anterior artículo:
Errores comunes de Certificado SSL y cómo solucionarlos – Parte 1
5. Cadena de certificados no válida/incompleta
El error de cadena de certificados inválidos o incompletos ocurre cuando el navegador no puede establecer una cadena de confianza válida entre los certificados de su navegador y la lista de certificados raíz de confianza.
Cada navegador mantiene un conjunto de certificados raíz de confianza. Cuando el navegador recibe los certificados del servidor, comienza a encadenar los certificados de su sitio web hasta que llega a cualquiera de los certificados raíz de confianza. Intentará establecer una Cadena de confianza SSL: una lista ordenada de certificados que permiten al navegador certificar que el servidor del sitio web y la autoridad de certificación son confiables. Si el navegador no puede establecer la cadena para sus certificados, por ejemplo debido a la falta de certificados intermedios, los rechazará.
Solución: implementa y configura tu servidor web para devolver el certificado de hoja y todos los certificados intermedios.
6. Certificado revocado
Este error ocurre cuando alguno de los certificados hoja o intermedios de tu sitio web está revocado y presente en la lista de certificados revocados.
La autoridad de certificación revocará los certificados que estén comprometidos antes de su vencimiento. La Autoridad de Certificación mantiene una lista de certificados revocados en la Lista de Revocación de Certificados (CRL). Mientras carga el sitio web, el navegador verifica si alguno de los certificados en la cadena está presente en CRL. Si alguno de los certificados de su cadena está presente en CRL, el navegador rechazará sus certificados. Cada navegador tiene un mecanismo diferente para verificar el estado de revocación de los certificados.
Para verificar el estado de revocación de sus certificados, debe consultar periódicamente la CRL o usar el Protocolo de estado de certificados en línea (OCSP) para verificar el estado del certificado. Estos mecanismos son difíciles de implementar.
Solución: reemplaza el certificado revocado con un nuevo certificado. Además, investiga el motivo de la revocación del certificado.
7. Autoridad de certificación no confiable
Este error significa que el navegador no puede encontrar el certificado raíz en el almacén de certificados de confianza local. Al establecer la Cadena de confianza SSL, si el navegador no puede encontrar ningún certificado raíz de confianza local, entonces no confiará en el certificado del servidor. El uso de certificados autofirmados también causará este problema, ya que el navegador no puede confiar en ellos.
Solución: si deseas utilizar un certificado autofirmado para tu sitio web, agrega manualmente el certificado a la tienda de confianza del navegador.
8. Algoritmo de firma inseguro
La advertencia de SSL inseguro aparece cuando cualquiera de los certificados SSL devueltos por su servidor web utiliza el antiguo algoritmo hash SHA-1 en desuso.
La solidez de la función hash utilizada para firmar el certificado juega un papel importante en la solidez de la seguridad del certificado. Algunos de los certificados más antiguos se basan en la función hash SHA-1, que ahora se considera insegura. Los navegadores modernos bloquean sitios web con certificados de hoja e intermedios que tienen la firma hash SHA-1.
Solución: las autoridades de certificación ya no emiten certificados SHA-1. Si tiene servidores que se ejecutan con certificados SHA-1, se recomienda obtener un nuevo certificado.
9. Información de transparencia de certificado faltante/incorrecta
Certificate Transparency es un mecanismo que hace posible detectar certificados SSL que han sido emitidos por error por una autoridad de certificación o adquiridos malintencionadamente de una autoridad de certificación intachable. También permite identificar autoridades de certificación que se han vuelto deshonestas y están emitiendo certificados de forma malintencionada. La autoridad de certificación actualiza el registro de transparencia del certificado cada vez que emite un certificado.
Cuando un cliente se conecta, el servidor responde con los certificados y la marca de tiempo del certificado firmado (SCT) para el certificado. SCT es el registro del certificado en el registro de transparencia de certificados. Si falta SCT o es incorrecto, el navegador rechazará el certificado.
Neothek ofrece servicios de web hosting, registro de dominios, correo electrónico, certificados SSL, diseño de páginas web y diseño gráfico.
