利用 SSL lab 檢測使用 GCA 憑證的政府網站,例如 talk.pdis.nat.gov.tw,發現皆會因為伺服器的憑證串鍊不完整而被降級至 B:
This server’s certificate chain is incomplete. Grade capped to B.
想請問政府所自行核發的 GCA 憑證是否有問題?
https://www.ssllabs.com/ssltest/analyze.html?d=www.ey.gov.tw&s=117.56.189.7&latest
https://www.ssllabs.com/ssltest/analyze.html?d=www.gov.tw&s=117.56.166.123&latest
@audreyt 委員你好,我挑了兩個網域做測試,都是評為B,請問 Government Root Certification 是否有問題?這個現象一定要每個網站都調整才能解決嗎?這樣不僅沒效率,我相信更多部會沒有能力和意願去解決這些問題…
感謝提醒。該串鍊雖不完整,中間的 GRCA 1 to GRCA 1.5 憑證如果瀏覽器端之前沒有取得,仍會自動下載取得,資安方面並無疑慮,不用擔心。
至於如果要各個網站都達到 SSLLabs A 級(也就是主動提供全部五層憑證),確實需要每個網站都調整。