Чтобы расширить ответ @MTZ4 (кстати, за него проголосовали, потому что вы его прибили), вот процесс, который мне нужно было проработать, с некоторыми указаниями на кого-то еще, не так хорошо знакомого с работой с этими типами проблем.
В моем случае CloudFlare работал с сертификатами шифрования DNS и TLS, а также с Heroku, обслуживающим сайт.
Первый шаг - определить, обслуживает ли ваш провайдер TLS соответствующие шифры TLS, требуемые Apple.
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA256
Один из самых простых способов сделать это - использовать средство проверки сертификатов SSL labs. Просто введите свой корневой домен и запустите отчет (это займет несколько минут). В ответе на отчет найдите раздел Наборы шифров и убедитесь, что требуемые Apple шифры TLS доступны. На изображении ниже вы можете увидеть их оранжевым цветом и пометить их как слабые.
Вы можете игнорировать статус weak, потому что эти шифры не используют эфемерные ключи и не будут использоваться в TLS 1.3.
Если вам нужен более полный тест, установите NMAP, а затем загрузите сценарий ssl-enum-ciphers. После установки NMAP и загрузки сценария выполните сценарий для своего домена:
nmap --script ssl-enum-ciphers -p 443 my-root-domain.com
Это дает набор результатов, который выглядит следующим образом:
Еще раз найдите раздел TLSv1.2 и сравните свой список шифров со списком Apple. Если их нет (они отсутствуют на изображении выше), то в этом и заключается ваша проблема.
Так как исправить? Что ж, есть несколько вариантов, и все зависит от вашего поставщика TLS, который может быть вашим веб-хостом или может быть вашим хостом DNS в зависимости от вашей конфигурации.
Для нас мы используем CloudFlare в качестве нашего DNS-провайдера. CloudFlare также предоставляет шифры TLS. Поскольку CloudFlare не поддерживает шифры, требуемые Apple (изображение NMAP выше), и они не будут добавлять их из-за опасений по поводу безопасности, связанных с TLS 1.2 и переходом на TLS 1.3, нам пришлось отключить прокси-службу CloudFlare, чтобы разрешить сертификаты TLS, которые были предоставляемые нашей службой хостинга (Heroku).
Это оказалось несложно. Просто войдите в CloudFlare, перейдите к записям DNS и измените поведение маршрутизации трафика (щелкните оранжевое облако, чтобы оно стало серым для проверки, затем щелкните его еще раз после завершения проверки). Для получения дополнительной информации см. Страницу поддержки CloudFlare.
После этого Heroku обслуживал шифры TLS, в том числе необходимые Apple (как показано на изображении SSL Labs выше).
В конечном итоге тот, кто обслуживает ваши шифры TLS, должен включать в себя те, которые нужны Apple. Если приведенные выше тесты не показывают правильные шифры, проверьте свою службу DNS / TLS и своего хостинг-провайдера, чтобы узнать, поддерживают ли они их. Если они этого не сделают, возможно, вам придется переключиться.
Наконец, стоит также отметить, что на портале разработчиков Apple, когда вы нажимаете кнопку загрузить для файла проверки, не нажимайте его снова! Каждый раз, когда вы нажимаете кнопку, файл подтверждения изменяется, поскольку кажется, что он создается динамически.
Просто исправьте все проблемы с TLS, затем войдите на портал разработчиков Apple, загрузите файл, загрузите его на свой сервер и затем подтвердите.
В конечном итоге я работал с поддержкой Apple над некоторыми из них, и они рассматривают возможность добавления некоторой документации на страницу проверки, в которой указано, какие шифры необходимы, чтобы другие не столкнулись с теми же проблемами.
person
Hooligancat
schedule
10.10.2019
An unexpected error occurred. Please try again. If the problem persists, please contact Apple Developer Program Support. https://developer.apple.com/support
Обратился в службу поддержки, но они еще не ответили с каким-либо решением. - person Eugene Berdnikov   schedule 12.09.2019