Ho acquistato un GeoTrust TrueBusiness ID SHA-256 con certificato SSL EV.
Secondo il sito web di GeoTrust, devo anche installare il corrispondente certificato intermedio , che è "GeoTrust EV SSL CA - G4".
Ora, a sua volta, la CA GeoTrust EV SSL - G4 viene rilasciata da "GeoTrust Primary Certification Authority".
Questa CA radice sembra mancare sia da molti sistemi Windows 7 sia da dispositivi mobili Android. In tali sistemi, le uniche due CA GeoTrust installate sono "GeoTrust Global CA" e "Equifax Secure Certificate Authority".
In questo caso, il browser mostra l'avviso "questo sito non è sicuro" e devi aggiungere manualmente un'eccezione per continuare la navigazione. Capisco che sia così perché non esiste una CA radice valida per convalidare il certificato.
Per risolvere questo problema (ad esempio, il supporto per i sistemi che non dispongono di "Autorità di certificazione primaria GeoTrust" tra le CA disponibili), il sito Web GeoTrust afferma quanto segue:
Se è necessario supportare browser legacy, sistemi operativi, applicazioni personalizzate e dispositivi che non dispongono dell'autorità di certificazione primaria GeoTrust, installare il certificato incrociato insieme al punto intermedio sopra. Fai clic qui
Quando segui quel link, vai alla pagina di download del certificato cross-root, che incrocia "Autorità di certificazione primaria GeoTrust" con "Autorità di certificazione sicura Equifax", che sembra essere la radice più legacy (e quindi ampiamente supportata) CA.
Finora, tutto bene. Ma c'è un avvertimento. Questo certificato cross-root ha un sapore SHA-1 . Così ora, nei sistemi più recenti, il browser mostra un avviso perché ci sono certificati non sicuri (SHA-1) come parte della catena.
Questo significa che questo è un compromesso inevitabile? Devo scegliere tra escludere gli utenti precedenti che non hanno la nuova CA radice nel loro negozio di fiducia e gli utenti più recenti con sistemi che accettano solo catene SHA-256 complete?
Questo è più un problema commerciale che tecnico? (Dovrei acquistare un altro, forse più costoso - e compatibile - certificato?). Sono molto frainteso qualcosa qui?
Grazie!