Duplicati证书存储过程中丢失中间证书问题解析

在Duplicati备份软件的使用过程中，用户反馈了一个关于证书存储的重要问题：当系统读取并存储证书到内部数据库时，会意外丢失中间证书链。这一缺陷直接导致了浏览器访问时出现安全警告，影响了产品的正常使用体验。

问题本质分析

证书链完整性对于HTTPS通信至关重要。完整的证书链通常包含：

1. 终端实体证书（用户证书）
2. 中间CA证书
3. 根CA证书

Duplicati在存储过程中仅保留了终端证书而丢弃了中间证书，这会导致TLS握手时出现"证书链不完整"的错误。现代浏览器如Chrome、Firefox会因此显示安全警告，甚至阻止访问。

技术影响层面

该缺陷主要影响以下场景：

• 使用自签名证书或私有CA部署的环境
• 需要客户端证书认证的备份存储配置
• 通过Web界面管理Duplicati时的HTTPS连接

缺失中间证书会导致TLS握手失败，因为客户端无法验证证书路径的完整性。这不仅影响用户体验，在严格的安全策略环境下可能导致服务不可用。

解决方案实现

开发团队通过代码提交#5739修复了该问题。核心改进包括：

1. 完善证书解析逻辑，确保完整保留证书链
2. 优化数据库存储结构，支持多级证书存储
3. 增加证书链验证环节，确保存储前完整性

最佳实践建议

对于使用证书的Duplicati用户，建议：

1. 及时更新到包含此修复的版本
2. 部署时测试证书链完整性
3. 定期检查证书有效性
4. 考虑使用可信CA颁发的证书以避免兼容性问题

该修复已包含在2.1.0-2 beta及后续版本中，推荐所有受影响用户升级以获得完整的功能支持。