SSL证书链是否已损坏以及如何解决？

有关域example.com的SSL证书，一些测试告诉我，链是不完整的，因为火狐保持其自身存储的证书，它可能会在Mozilla（失败1，2，3）。其他人告诉我这很好，Firefox 36也一样，告诉我cert链很好。

更新：我在Windows XP和MacOS X Snow Leopard上的Opera，Safari，Chrome和IE上进行了测试，它们都可以正常工作。它仅在两个操作系统上的Firefox <36上均失败。我没有在Linux上进行测试的权限，但是对于此网站，它不到1％的访问者，并且大多数可能是机器人。因此，这回答了原始问题“此设置是否会在Mozilla Firefox中弹出警告”和“此SSL证书链是否断开？”。

因此，问题是我如何找出需要在ssl.ca文件中放置的证书，以便Apache可以为它们提供证书，从而使Firefox <36不再受阻？

PS：作为旁注，我用来测试证书的Firefox 36是全新安装的。它没有机会不会抱怨，因为它在上次访问使用相同链的网站时下载了中间证书。

链是否足够取决于客户端的CA存储。Firefox和Google Chrome似乎已包含2014年底的“ COMODO RSA证书颁发机构”证书。对于Internet Explorer，它可能取决于基础操作系统。CA可能尚未包含在非浏览器使用的信任库中，即爬网程序，移动应用程序等。

从SSLLabs报告可以看出，无论如何链都不是完全正确的：

• 一种信任路径要求浏览器信任新的CA。在这种情况下，您仍然会发运新的CA，这是错误的，因为受信任的CA必须是内置的并且不包含在链中。
• 另一个信任路径不完整，即需要额外下载。有些浏览器（例如Google Chrome浏览器）会进行此下载，而其他浏览器和非浏览器希望所有必需的证书都包含在随附的链中。因此，大多数没有内置新CA的浏览器和应用程序都会在此站点上失败。

我联系了Comodo并从他们那里下载了bundle.crt文件。根据此服务器的设置，我将其重命名为ssl.ca，现在证书通过了所有测试。该Chain issues = Contains anchor通知不是问题（请参阅下文）。

SSL Labs被普遍认为是最完整的测试，它现在显示Chain issues = Contains anchor，而以前却没有显示Chain issues = None（而其他人则表明该链有问题）。这的确是一个不是问题的问题（1，2），除了一个额外1kB的服务器发送给客户端。

我的结论

1. 忽略SSL Labs测试中所说的内容，Chain issues = Contains anchor或者从捆绑文件中删除根证书（请参阅下面的注释）。

2. 始终运行其他三个考点的至少一个（在二次测试1，2，3），以确保您的链是当真的好吗SSL实验室说Chain issues = None。