Сертифікат SSL недійсний у Chrome


9

Для веб-сайту scirra.com ( натисніть на Результати тестування лабораторій SSL ) Google Chrome повідомляє про наступний значок:

Введіть тут опис зображення

Це EV SSL, і він, здається, відмінно працює у Firefox та Internet Explorer, але не в Chrome. У чому причина цього?


Насправді, посилання на веб-сайти не є хорошою практикою, можливо, якщо ви заплатите її вартість реклами компанії SE
peterh - Відновіть Моніку

6
@PeterHorvath Чи не було б правильним включити домен для такого питання? Як ми могли визначити причину проблеми, не дослідивши власне сертифікат? Тим не менш, я запропонував редагувати домен у простому тексті та посилання на тест сервера Qualys SSL.
Пол

1
@Paul Це тому, що я лише попередив його, а іншого не робив. І зараз я навіть схвалюю його питання, тому що я думаю, що це заслуговує на це. Зазвичай під час оглядів, якщо ми знайдемо зовнішнє посилання, його потрібно вивчити, чи це не якийсь «прихований дорогоцінний камінь» чи подібне. Набагато краще, якщо URL надходить із відомого сайту (imgur, jsfiddle тощо).
peterh


Я думаю, що всі браузери на ринку будуть захоплювати SHA-1. Google просто взяв на себе лідерство.
тако

Відповіді:


15

Те, що ви бачите зараз, - це не "зелений адресний рядок", якого ви очікували б із сертифікатом EV, а наступне:

введіть тут опис зображення

Причиною цього є таке повідомлення в блозі онлайн-безпеки Google :

Відомо, що алгоритм криптографічного хешу SHA-1 значно слабший, ніж він був розроблений щонайменше з 2005 по 9 років тому. Атаки зіткнення проти SHA-1 є занадто доступними для нас, щоб вважати його безпечним для публічного PKI. Можна лише очікувати, що атаки подешевшають.

Ось чому Chrome почне процес заходу SHA-1 (як це використовується у підписах сертифікатів для HTTPS) із Chrome 39 у листопаді. ... Сайти з сертифікатами кінцевих організацій, які закінчуються з 1 червня 2016 року по 31 грудня 2016 року (включно), і які включають підпис на основі SHA-1 як частина ланцюжка сертифікатів, будуть розглядатися як "безпечні, але з другорядними помилки ».

"Захищений, але з незначними помилками", позначений попереджувальним знаком на замок, а застарілі параметри безпеки в розширеному повідомленні - це те, що сертифікат покладається на алгоритм хешу SHA-1.

Що вам потрібно зробити, це:

Створіть новий приватний ключ із хешем SHA-256 та новим запитом на підписання сертифікату (CSR) і змусіть свого постачальника SSL переоформити вам новий сертифікат. Що стосується сертифікатів EV, то для повторного випуску зазвичай потрібні більш-менш ті самі обручі, на які вам довелося перейти, щоб отримати сертифікат спочатку, але вам слід отримати новий сертифікат, дійсний до того ж терміну дії поточного сертифіката без додаткових витрат.

У openssl ви б використовували щось на зразок наступного командного рядка:

openssl req -nodes -sha256 -newkey rsa:2048 -keyout www.scirra.com.sha256.key -out www.scirra.com.sha256.csr

1
Я помітив у результатах тестування сервера лабораторій SSL, що підпис HTTP-сервера є Microsoft-IIS / 7.5. Я не використовував жодної із серверних продуктів Microsoft, тому не був впевнений, чи opensslпотрібна ваша команда для цього користувача.
Павло

1
Вам не потрібно генерувати новий ключ. Ви можете просто отримати новий сертифікат для вашого поточного ключа, як показано у відповіді тако. Це не має значення ні в якому разі, за винятком спалювання декількох циклів процесора, генеруючи прості числа.
Метт Нордхофф

10

Це пов’язано з планом заходу Google на SHA-1 .

  • Немає негайних проблем із безпекою.
  • SHA-2 - це поточний рекомендований алгоритм хешування для SSL. Про жодні порушення сертифікатів із використанням SHA-1 не зафіксовано.
  • Відображення погіршених індикаторів інтерфейсу користувача на Chrome 39 та пізніших версіях є частиною плану знезараження SHA-1 від Google і застосовуватиметься до всіх органів сертифікації (CA).
  • Погіршений інтерфейс буде бачити лише користувачі Chrome 39 та новіших версій, а не попередніх версій. Зверніться до свого постачальника SSL після того, як ваш sysadmin знайде ваш наявний приватний ключ (на вашому веб-сервері), і він безкоштовно повторно видасть сертифікат із SHA-2. Вам знадобиться новий КСВ.

Наступне створить новий CSR на OSX / Linux, якщо встановлено OpenSSL (зверніться до наявних полів сертифікату SSL, оскільки домен (він же "Загальне ім'я") повинен залишатися таким же:

Linux / OSX:

openssl req -new -sha256 -key myexistingprivate.key -out newcsr.csr

Для Windows див. Це статтю TechNet .

У цей момент вам може знадобитися звернутися до постачальника за допомогою, якщо ви не бачите можливість повторного випуску через їх SSL-портал. На веб-сайті Comodo розміщено відомості про те, як це зробити, якщо для вас це недостатньо інформації.

Після встановлення сертифіката SHA-2 це позбавить від "проблеми", яку ви бачите в Chrome.


5

Вам потрібен сертифікат SHA2, щоб він зник. Більше інформації про поступовий захід сонця SHA-1


2
SSL Labs правильно повідомляє, що мій веб-сайт як і раніше має сертифікат SHA1, але він не має таких же попереджень у Chrome. Однак, лабораторії SSL повідомляють, що у scirra.com є багато інших проблем, включаючи SSL 3, RC4 та відсутність FS. Я підозрюю, що не лише те, що сертифікат підписаний за допомогою SHA1, а й те, що термін його дії закінчується після заходу SHA1 (2016).
Пол

1
@Paul, який включений у посилання. Sites with end-entity certificates that expire on or after 1 January 2017, and which include a SHA-1-based signature as part of the certificate chain, will be treated as “neutral, lacking security”.
факер

2
Сайти @faker SE хмуряться на відповіді чи запитання, які покладаються на інформацію у посиланнях. Слід включити відповідну інформацію. Насправді я б пішов так далеко, щоб стверджувати, що ця відповідь технічно невірна, оскільки користувач міг вирішити проблему, використовуючи сертифікат SHA1, який закінчується до 2016 року.
Пол,

1
@Paul досить справедливо, але ви сказали, що підозрюєте, що це причина. Я лише уточнював ...
факер

3
Погляньте, як вони роблять речі в Stack Overflow . Це набагато краща відповідь, ніж ваша.
Павло
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.