Сайт использует устаревшие параметры безопасности, которые могут помешать будущим версиям Chrome получить безопасный доступ к нему.
Мы используем AWS ELB для завершения SSL и имеем проблему, когда Chrome отображает "https" красным цветом с зачеркиванием.
В нем говорится: "Сайт использует устаревшие параметры безопасности, которые могут помешать будущим версиям Chrome иметь безопасный доступ к нему". но он явно не вызывает, какие настройки ему не нравятся.
Как я могу узнать, с чем у Chrome проблема, чтобы наши пользователи получили зеленую галочку?
Пример URL-адреса, вызывающего ошибку, находится здесь: https://aws.hatchlings.com/error/
Я провел наш сайт через SSL Labs, и он дал нам оценку "А":
3 ответа
В вашем сертификате используется устаревший алгоритм SHA-1, о котором теперь предупреждает Google Chrome из-за угроз безопасности.
- http://googleonlinesecurity.blogspot.com/2014/09/gradually-sunsetting-sha-1.html
- https://community.qualys.com/blogs/securitylabs/2014/09/09/sha1-deprecation-what-you-need-to-know
- https://shaaaaaaaaaaaaa.com/check/aws.hatchlings.com
Вам нужно будет сгенерировать новый CSR и получить сертификат замены у вашего поставщика SSL.
https://github.com/konklone/shaaaaaaaaaaaaa/issues/24
Для тех, у кого проблемы с RapidSSL от любого из их посредников или любых других сертификатов бренда GeoTrust:
- Войдите в продукты GeoTrust, используя свое полное доменное имя и адрес электронной почты, используемый для запроса сертификата
- Перейдите по ссылке для входа, отправленной по электронной почте
- Нажмите переиздать
- Укажите новый CSR и выберите SHA-256 из раскрывающегося списка.
На этом портале вы также можете отозвать свой старый сертификат.
В то время как вы получаете A на SSL Labs в настоящее время, подробный отчет говорит вам, что это проблема в оранжевом разделе:
Для людей, которые сталкиваются с этой проблемой даже с SHA2 и очень хорошим рейтингом по SSL LAB (+ NO предупреждение): пожалуйста, проверьте свою версию libnss. В настоящее время я использую Ubuntu 13.10 здесь, а libnss - версия 3.15.x.
=> Похоже, что в версиях до 3.17 libnss проверяет самую слабую цепочку безопасности вместо самой сильной. Это означает, что если у вас есть сертификат SHA1 в цепочке, Chrome все равно отобразит предупреждение.
Решение: обновите libnss до более новой версии.
У меня похожий опыт работы с моим сайтом, и я изначально думал, что это сертификат, но алгоритм сертификата находится в SHA-2. Наконец я обнаружил, что проблема не в Chrome, а в моем почтовом щите avast, блокирующем сертификат.