Google Chrome говорит, что мой SSL использует устаревшие настройки безопасности, но другие тесты сайта не согласны
Я установил StartSSL на своем веб-сервере, который работает под управлением Linux Apache на CentOS 6.5. shaaaaaaaaaaaaa.com сказал
Ницца. example.com имеет проверяемую цепочку сертификатов, подписанную SHA-2.
Однако Google Chrome на Debian 7.8 сказал
Соединение зашифровано с использованием AES_128_CBC, с SHA1 для аутентификации и ECDHE_RSA в качестве механизма обмена ключами.
На коробке Debian я сделал
mkdir ~/StartComCerts
mv /etc/ssl/certs/StartCom* ~/StartComCerts
и проблема ушла. Однако ожидаемые клиенты могут вносить изменения в свои компьютеры, что не является приемлемым решением. Поэтому я приобрел сертификат GeoTrust QuickSSL Premium на ssls.com. Затем я зашел на https://knowledge.geotrust.com/support/knowledge-base и там было сказано "Сертификат установлен правильно". Однако когда я захожу на свой сайт с помощью Chrome в Debian 7.8, я получаю сообщения:
Этот сайт использует слабую конфигурацию безопасности (подписи SHA-1), поэтому ваше соединение может быть не частным.
а также
Сайт использует устаревшие параметры безопасности, которые могут помешать будущим версиям Chrome иметь безопасный доступ к нему.
Я проверил свой сайт на www.ssllabs.com/ssltest/analyze.html. Он оценил мой сайт как A и сказал, что мой алгоритм подписи SHA256 с RSA. Я пошел в shaaaaaaaaaaaaa.com сказал
Ницца. example.com имеет проверяемую цепочку сертификатов, подписанную SHA-2.
Я пошел на whynopadlock.com, и все проверили положительно. Я также протестировал Chrome на другом компьютере под управлением Windows 7 и получил зеленый замок без сообщений об ошибках.
Я не знаю, почему я получаю ошибку SHA-1 в Chrome на Debian.
Редактировать - 2015-06-15
У меня также есть проблема Sha-1 в некоторых системах Windows. Ниже приведен снимок экрана с Google Chrome в моей домашней системе Windows (слева) и в моей рабочей системе Windows (справа). Кажется, он использует кешированный сертификат Sha-1 в разных системах. Я установил промежуточный сертификат в соответствии с инструкциями GeoTrust.
Редактировать:
У меня есть домашний бизнес, который является целью моего веб-сайта.
2 ответа
Проблема в том, что на вашем компьютере Windows установлен антивирус Avast. Avast вставляет SSL-сертификат между веб-сайтом и Google Chrome. См. "Веб-почта / почтовый щит Avast" в верхней части левого изображения.
Google Chrome показывает предупреждение на вашем компьютере, так как Chrome проверяет локальный поддельный сертификат. Avast AntiVirus подделывает сертификаты SSL, чтобы они могли видеть и сканировать трафик SSL. Сканирования, подобные лабораториям Qualys SSL, скажут вам правду.
Вы можете отключить Avast Web/Mail Shield и повторить попытку в Google Chrome. Таким образом, Chrome будет проверять сертификат, который обслуживает ваш сервер, а не внедренный / поддельный сертификат SSL, который Avast внедряет между вашим сервером и Google Chrome.
На левом изображении вы смотрите информацию о SSL-сертификате Avast. Справа информация о вашем собственном сертификате GeoTrust SSL.
Я предполагаю, что вы также используете версию Avast для Linux на вашем компьютере с Debian, и это создает ситуацию, аналогичную ситуации на компьютере с Windows.
Проблема заключается в том, что ваш сертификат использует SHA1 в качестве сигнатуры. Если ваш сертификат действительно использует SHA2, проверьте все промежуточные (и корневые) сертификаты в вашей цепочке. Каждый сертификат должен использовать SHA2.
SHA1 - старая (слабая) технология и больше не должна использоваться. У большинства поставщиков PKI есть обе возможности. Просто загрузите сертификаты цепи SHA2 и загрузите их на свой сервер. Тогда проблема будет решена.
Поскольку вы используете сертификат SHA2 (как показано выше), проблема заключается в наличии одного из промежуточных сертификатов. Проверьте их все на наличие SHA1 и получите вместо них SHA2.