Сертифікат SSL недійсний у Chrome

Для веб-сайту scirra.com ( натисніть на Результати тестування лабораторій SSL ) Google Chrome повідомляє про наступний значок:

Це EV SSL, і він, здається, відмінно працює у Firefox та Internet Explorer, але не в Chrome. У чому причина цього?

Те, що ви бачите зараз, - це не "зелений адресний рядок", якого ви очікували б із сертифікатом EV, а наступне:

Причиною цього є таке повідомлення в блозі онлайн-безпеки Google :

Відомо, що алгоритм криптографічного хешу SHA-1 значно слабший, ніж він був розроблений щонайменше з 2005 по 9 років тому. Атаки зіткнення проти SHA-1 є занадто доступними для нас, щоб вважати його безпечним для публічного PKI. Можна лише очікувати, що атаки подешевшають.

Ось чому Chrome почне процес заходу SHA-1 (як це використовується у підписах сертифікатів для HTTPS) із Chrome 39 у листопаді. ... Сайти з сертифікатами кінцевих організацій, які закінчуються з 1 червня 2016 року по 31 грудня 2016 року (включно), і які включають підпис на основі SHA-1 як частина ланцюжка сертифікатів, будуть розглядатися як "безпечні, але з другорядними помилки ».

"Захищений, але з незначними помилками", позначений попереджувальним знаком на замок, а застарілі параметри безпеки в розширеному повідомленні - це те, що сертифікат покладається на алгоритм хешу SHA-1.

Що вам потрібно зробити, це:

Створіть новий приватний ключ із хешем SHA-256 та новим запитом на підписання сертифікату (CSR) і змусіть свого постачальника SSL переоформити вам новий сертифікат. Що стосується сертифікатів EV, то для повторного випуску зазвичай потрібні більш-менш ті самі обручі, на які вам довелося перейти, щоб отримати сертифікат спочатку, але вам слід отримати новий сертифікат, дійсний до того ж терміну дії поточного сертифіката без додаткових витрат.

У openssl ви б використовували щось на зразок наступного командного рядка:

openssl req -nodes -sha256 -newkey rsa:2048 -keyout www.scirra.com.sha256.key -out www.scirra.com.sha256.csr

Це пов’язано з планом заходу Google на SHA-1 .

• Немає негайних проблем із безпекою.
• SHA-2 - це поточний рекомендований алгоритм хешування для SSL. Про жодні порушення сертифікатів із використанням SHA-1 не зафіксовано.
• Відображення погіршених індикаторів інтерфейсу користувача на Chrome 39 та пізніших версіях є частиною плану знезараження SHA-1 від Google і застосовуватиметься до всіх органів сертифікації (CA).
• Погіршений інтерфейс буде бачити лише користувачі Chrome 39 та новіших версій, а не попередніх версій. Зверніться до свого постачальника SSL після того, як ваш sysadmin знайде ваш наявний приватний ключ (на вашому веб-сервері), і він безкоштовно повторно видасть сертифікат із SHA-2. Вам знадобиться новий КСВ.

Наступне створить новий CSR на OSX / Linux, якщо встановлено OpenSSL (зверніться до наявних полів сертифікату SSL, оскільки домен (він же "Загальне ім'я") повинен залишатися таким же:

Linux / OSX:

openssl req -new -sha256 -key myexistingprivate.key -out newcsr.csr

Для Windows див. Це статтю TechNet .

У цей момент вам може знадобитися звернутися до постачальника за допомогою, якщо ви не бачите можливість повторного випуску через їх SSL-портал. На веб-сайті Comodo розміщено відомості про те, як це зробити, якщо для вас це недостатньо інформації.

Після встановлення сертифіката SHA-2 це позбавить від "проблеми", яку ви бачите в Chrome.

Вам потрібен сертифікат SHA2, щоб він зник. Більше інформації про поступовий захід сонця SHA-1