Прерывистые ошибки X509CertificateChain.Build
У нас есть веб-сервис на сервере с сертификатом X.509 и несколько веб-сайтов, которые будут работать с веб-сервисом через net.tcp. Сертификат работает почти 2 года без проблем. Внезапно, в прошлую пятницу мы начали получать эту ошибку в наших журналах событий обоих наших веб-серверов.
Значения OID и CN очищаются.
Сертификат X.509 CN=www.ourdomain.com, O="Наши доменные службы, LP", L= Хьюстон, S= Техас, C=US, SERIALNUMBER=11111111, OID.1.1.1.11= Частная организация, OID.1.1.1.1.1.1.111.11.1.1.1= Техас, OID.1.1.1.1.1.1.111.11.1.1.1 = Не удалось построить сеть в США. Использованный сертификат имеет цепочку доверия, которую невозможно проверить. Замените сертификат или измените CertificateValidationMode. Не удалось создать цепочку сертификатов для доверенного корневого центра.
Эта ошибка является довольно спорадической, но происходила достаточно, чтобы наши клиенты испытывали головную боль при попытке использовать нашу систему. Мне удалось воспроизвести проблему из браузера Chrome, но если я попробовал второй раз, это работает. Однако у клиента может не хватить терпения пытаться снова и снова, пока он не сработает.
Мы искали повсюду и уже 3 дня пытаемся найти людей, которые могли испытать нечто подобное. Любые результаты, которые даже немного приблизились, не получили откликов от сообщества. Тьфу.
Мы попытались установить режим отзыва на NoCheck в веб-конфигурациях (хотя наша ошибка ничего об этом не говорит), но мы все еще видим проблему как таковую.
Это началось в прошлую пятницу 6 июля 2018 года, на следующий день стало намного хуже, продолжалось до воскресенья (но не так часто). К понедельнику ошибки, казалось, прекратились около 2 часов ночи, но, конечно же, мы получили еще несколько, хотя день. Даже во вторник, хотя пока только один раз, мы видели это снова.
Наши веб-серверы размещены на RackSpace. Они заверили нас, что нет проблем с сетью.
У любого есть идеи о том, что может вызвать эту ошибку. Но прежде чем ответить, пожалуйста, обратите внимание: это не происходит постоянно, поэтому Cert ХОРОШО, как промежуточный и root Cert. В противном случае это не сработает вообще.
Могут ли проблемы с сетью вызвать что-то подобное?
Любая обратная связь, руководство или отчет о подобном опыте будет принята с благодарностью.