Назад | Перейти на главную страницу

Промежуточная цепочка сертификатов Thawte SSL123 SHA-2, разорвана?

Я попытался обновить свой единственный веб-сайт, запустив nginx, из сертификата SHA-1 SSL123 в сертификат SHA-2.

Thawte's Веб-страница с промежуточными центрами сертификации имеет таблицы «RSA SHA-2 (под корнем SHA-1)» и «RSA SHA-2 (под корнем SHA-2)».

Если я использую пакет CA для "под корнем SHA-1" я вижу, что пакет содержит два сертификата, и мой веб-сайт работает. Тем не менее, Qualys 'SSL Test по праву обвиняет меня в наличии сертификата SHA-2 с SHA-1 в цепочке сертификатов.

Однако таблица «под корнем SHA-2» не имеет пакетов. Если я использую единый промежуточный сертификат они предоставляют там, Firefox и другие инструменты указывают, что цепочка сертификатов нарушена, и браузеры не загружают мой сайт.

Прямо сейчас я использую корень SHA-1, чтобы иметь рабочий сайт. Однако я хотел бы переключиться на корень SHA-2.

Где мне получить недостающий промежуточный сертификат? Или, если проблема не в этом, как мне создать комбинированный файл сертификата для SSL123 Thawte на основе сертификата SHA-2 с полной цепочкой промежуточных сертификатов SHA-2?

Спасибо!

Ваш собственный сертификат подписан ровно одним сертификатом.

Это означает, что ваш сертификат находится на одном конце ровно одной из этих цепочек Thawte, вам потребуется другой сертификат, который будет в другой цепочке (подписанный промежуточным сертификатом из этой цепочки).

Что касается подписи корневой сертификат будучи SHA-1, SHA-2 или чем-то еще, он не имеет большого значения по сравнению с другими сертификатами в цепочке, поскольку проверяющая сторона уже имеет корневые сертификаты, которым они доверяют, им не нужна подпись для проверки корней. (См., Например, Устаревший SHA1: что вам нужно знать.)

Изучение сертификатов в Thawte SSL123 SHA-2 (под SHA1-Root) цепочке оказывается, что один из промежуточных сертификатов («Primary Intermediate CA») тоже SHA-1 (а не только корневой). Почти наверняка за этот сертификат вас "тратят". Чтобы решить эту проблему, вам нужно заставить Thawte выдать вам новый сертификат, подписанный промежуточным сертификатом из другой цепочки.

Оказывается, сайт Thawte сбивает с толку людей, которые мало работают с сертификатами SSL.

Несмотря на то, что для SSL123 SHA2 под корнем SHA-1, вам нужен только первый. Второй сертификат является корень SHA-1, и вам не нужно объединять его с сертификатом вашего сайта для развертывания на nginx. Просто используйте первый сертификат, и все готово.