miércoles, 15 de abril de 2020

This server's certificate chain is incomplete



Cómo solucionar el problema "This server's certificate chain is incomplete. Grade capped to B." en el scanner de certificados SSL de Qualys (Qualys SSL Server Test).



Hoy en día no basta con instalar un certificado SSL en un servidor web y que este proteja las conexiones HTTPS. El certificado, además de estar presente, debe ser configurado en el servidor web de forma que cumpla con los estandares de seguridad vigentes.

Hay varias formas de comprobar si un certificado está correctamente instalado/configurado. Una de ellas es la herramienta online grauita Qualys SSL Server Test, la cual escanea un dominio y otorga una nota (A, B, C, etc.) a dicho dominio en función de su configuración de SSL.

Uno de los problemas más comunes al instalar un certificado y analizar su configuración es encontrarnos con el mensaje This server's certificate chain is incomplete:



Recordemos que un certificado SSL está compuesto por:

- Una clave privada (archivo .key)
- Una clave pública (archivo .crt)
- Certificados intermedios de la autoridad certificadora que haya emitido el certificado.

Teniendo en cuenta lo anterior, deberemos asegurarnos de instalar todos los certificados intermedios cuando instalemos un certificado SSL en un servidor web.

Algunos servidores web como Apache, permiten apuntar a cada uno de estos archivos individualmente, mientras que otros como NGINX o AWS Load Balancer necesitan que se encadenen la clave privada del certificado y los certificados intermedios para que el certificado quede correctamente instalado.

Para este último caso, debemos encadenar los certificados siguiendo un orden determinado:

claveprivada.crt
XXX_ServerCA2.crt
XXX_USERTrustRSACertificationAuthority.crt
AddTrustExternalCARoot.crt


Los encadenamos uno detrás de otro tal que así:

-----BEGIN CERTIFICATE----- Ddfst345wefsdgsfgxfv.... -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- DGHUUY8dDF/YERGzrtdg/5... -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- XZRUH3465ydg$$Rfdf&erT... -----END CERTIFICATE-----

Una vez hecho esto, re-escaneamos el dominio en cuestión y veremos que el analizador de Qualys ya no se queja de que el encadenamiento (chain) esté incompleto:



Listo, ya tenemos el certificado SSL bien configurado y con ello obtenemos una A en Qualys.
0

0 comentarios:

Publicar un comentario