Назад | Перейти на главную страницу

SSL-сертификат недействителен в Chrome

Для сайта scirra.com (нажмите, чтобы увидеть результаты тестирования сервера SSL Labs) Google Chrome сообщает о следующем значке:

Это EV SSL, и, похоже, он отлично работает в Firefox и Internet Explorer, но не в Chrome. Что является причиной этого?

Теперь вы видите не «зеленую адресную строку», которую можно было бы ожидать от сертификата EV, а следующее:

Причина тому - следующее объявление на Блог Google Online Security:

Криптографический алгоритм хеширования SHA-1, как известно, значительно слабее, чем он был разработан, по крайней мере, с 2005 года - 9 лет назад. Коллизионные атаки на SHA-1 слишком доступны для нас, чтобы считать их безопасными для общедоступной веб-инфраструктуры PKI. Остается только ожидать, что атаки станут дешевле.

Вот почему Chrome начнет процесс прекращения использования SHA-1 (используемого в подписях сертификатов для HTTPS) в Chrome 39 в ноябре. ... Сайты с сертификатами конечных объектов, срок действия которых истекает с 1 июня 2016 года по 31 декабря 2016 года (включительно) и которые включают подпись на основе SHA-1 как часть цепочки сертификатов, будут рассматриваться как «безопасные, но с незначительными ошибки ».

«Безопасный, но с небольшими ошибками» обозначается предупреждающим знаком на замке, а устаревшие настройки безопасности в расширенном сообщении - это тот факт, что сертификат полагается на хэш-алгоритм SHA-1.

Что вам нужно сделать, это следующее:

Создайте новый закрытый ключ с хешем SHA-256 и новым запросом на подпись сертификата (CSR) и попросите вашего поставщика SSL повторно выдать вам новый сертификат. С сертификатами EV для повторного выпуска обычно требуются более или менее те же обручи, через которые вы должны были пройти, чтобы получить сертификат изначально, но вы должны получить новый сертификат, действительный до той же даты истечения срока действия текущего сертификата, без дополнительной платы или с небольшой дополнительной оплатой.

В openssl вы должны использовать что-то вроде следующей командной строки:

openssl req -nodes -sha256 -newkey rsa:2048 -keyout www.scirra.com.sha256.key -out www.scirra.com.sha256.csr

Это из-за План прекращения действия Google для SHA-1.

  • Нет никаких непосредственных опасений по поводу безопасности.
  • SHA-2 - это текущий рекомендуемый алгоритм хеширования для SSL. О нарушениях с сертификатами, использующими SHA-1, не сообщалось.
  • Отображение ухудшенных индикаторов пользовательского интерфейса в Chrome 39 и более поздних версиях является частью плана прекращения поддержки SHA-1 Google и будет применяться ко всем центрам сертификации (ЦС).
  • Ухудшенный пользовательский интерфейс будет виден только пользователям Chrome 39 и более поздних версий, но не более ранних версий. Свяжитесь с вашим поставщиком SSL после того, как ваш системный администратор определит ваш существующий закрытый ключ (на вашем веб-сервере), и они бесплатно выполнят перевыпуск сертификата с помощью SHA-2. Вам понадобится новый CSR.

Следующее приведет к созданию нового CSR в OSX / Linux, если установлен OpenSSL (см. Существующие поля сертификата SSL, поскольку домен (также известный как «Общее имя») должен оставаться неизменным:

Linux / OSX:

openssl req -new -sha256 -key myexistingprivate.key -out newcsr.csr

Для Windows см. Это Статья в TechNet.

На этом этапе вам может потребоваться обратиться за помощью к своему поставщику, если вы не видите возможность перевыпуска через его портал SSL. На веб-сайте Comodo подробно рассказывается, как это сделать, если вам недостаточно информации.

После установки сертификата SHA-2 это избавит от «проблемы», которую вы видите в Chrome.

Вам нужен сертификат SHA2, чтобы он исчез. Подробнее о Постепенно закрывающемся SHA-1