Рейтинг + досі не впевнений на думку Google Chrome

10

Я надаю свій сервер на DigitalOcean , і хоча я отримую рейтинг A + від ssllabs,

https://www.ssllabs.com/ssltest/analyze.html?d=zandu.biz

коли я підключаюся до свого веб-сайту https://www.zandu.biz або https://zandu.biz , я отримую незахищене повідомлення в Chrome.

Як я це вирішую?

ssl  apache-2.4  lets-encrypt 
Архітектор
джерело

Відповіді:

48

Цей сервер не міг довести, що це www.zandu.biz; його сертифікат безпеки - від zandu.biz. Це може бути викликано неправильною конфігурацією або зловмисником, що перехоплює ваше з'єднання.

Ім'я в сертифікаті вашого сайту - zandu.biz, що не дійсне для іншого імені (www.zandu.biz). Крім того, у вас є переспрямування з zandu.biz на www.zandu.biz, тому якщо ви використовуєте ім'я, сертифікат дійсний, оскільки він переспрямовує на ім’я, яке не є.

Вам потрібно отримати сертифікат з обома іменами .

zrm
джерело
4
Сертифікати підстановки можуть бути зручнішими або необхіднішими, якщо імена, які ви збираєтесь використовувати, насправді не відомі достроково. Але вони також збільшують вашу експозицію, якщо асоційований приватний ключ порушений, тому що зловмисник може підробити будь-яке ім’я у вашому домені, а не лише те, яке насправді використовував сервер.
zrm
4
Давайте шифрувати - це CA. Коли вони вперше розпочали роботу, вони були підписані IdenTrust, але це закінчується в 2020 році, оскільки їхній власний кореневий сертифікат зараз широко довіряють. Ніщо з цього не має нічого спільного з вашою проблемою, яка б була однаковою.
zrm
8
s / Common Name / Subject Alternative Name / - Chrome не використовується Common Name взагалі в протягом 2 -х років; інші веб-переглядачі роблять це лише в тому випадку, якщо SAN відсутня, що не було правдою для жодних сертифікатів (EE) у громадських центрах з початку 2010 року, хоча ви можете домовитись про тест-серти, які ви створюєте самі. Саме тому ви можете отримати один серт для декількох доменів - стародавні certs, використовуючи лише загальну назву, не могли цього зробити.
dave_thompson_085
12
@djdomi сертифікат підстановки для *.example.comдосі не охоплює голий домен example.com. Вам все ще потрібно два значення в SAN.
Michael - sqlbot
4
Більшою причиною уникати сертифікату підстановки є те, що OP використовує LetsEncrypt. Хоча LetsEncrypt підтримує сертифікати підстановки, це вимагає виклику DNS. Задоволення проблеми DNS важче автоматизувати. Також автоматизація виклику DNS може означати, що компрометований сервер надасть зловмисникам доступ до вашої DNS. Отже, достатньо використовувати або сертифікат UCC, або два сертифікати (який підхід не має великого значення. Робити те, що простіше).
Брайан
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.