Назад | Перейти на главную страницу

Почему Chrome на 1 компьютере сообщает, что мой сертификат недействителен / небезопасен?

У меня есть сертификат домена с подстановочным знаком от StartSSL для сайта (https://later.webblocks.nl/).

Когда я проверяю это в любом браузере на своем домашнем ПК, все в порядке. (Зеленый замок в Chrome.) Когда я проверяю его в Chrome на своем рабочем компьютере, это нехорошо:

Страница загружается без проблем. Других запросов нет, значит, ничего по HTTP. Он использует безопасные протоколы и т. Д. Я проверил соединение на SSL Labs и Глобальный знак и они согласны, что это совершенно безопасно.

На том же компьютере это нормально с другими браузерами. На других компьютерах Chrome тоже с этим справляется. Пробовал перезагружать, очищать кеши, режим инкогнито и т.д. Ничего не меняется.

Для меня это не проблема, потому что я знаю, что это безопасно, но все равно раздражает.

Любые идеи?

PS. Некоторое время назад Chrome сделал нечто подобное с Windows XP: внезапно веб-сайты стали «небезопасными» из-за небезопасных протоколов Windows. На обоих компьютерах установлена ​​Windows 7 и одна и та же версия Chrome, так что, вероятно, это не так ...

Больше информации:

По какой-то причине у двух компьютеров разные цепочки сертификатов. Сертификат домена и корневой сертификат одинаковы, но посредник отличается. На моем домашнем ПК он использует sha2, на моем рабочем ПК - sha1. Посредник включен в сертификат сервера (у которого есть sha2), так что это странно. Все средства проверки SSL обнаруживают только промежуточный сертификат sha2. В чем дело!?

Причина объяснена на форуме StartCOM:

https://forum.startcom.org/viewtopic.php?f=15&t=15929&p=21716

И в Chrome:

https://code.google.com/p/chromium/issues/detail?id=473105

Это действительно SHA1.

Это связано с кешем сертификатов Windows или Chrome. Поскольку они (старый и новый промежуточные сертификаты) имеют одинаковое имя, клиент будет использовать кешированный вариант, который может быть старым и SHA1. В названии виноват StartCOM. Плохое кеширование - это вина Windows или Chrome. Они не очень стараются это исправить.

У проверок SSL нет такой проблемы, потому что они не используют кешированные что-нибудь.

На разных компьютерах результаты разные, потому что кеш локальный.

Для меня работает (очень конкретное, локальное) решение на форуме StartCom: очистить сертификат из локального кеша, чтобы запустить повторную загрузку нового сертификата, но на самом деле это не решение для всех других пользователей. (В моем случае только несколько, так что проблем нет.)

Я считаю, что это может быть связано с прекращение поддержки SHA-1. В начале этого года Google внесла изменения в свой браузер Chrome 41. Соответственно, «сайты с сертификатами конечных объектов, срок действия которых истекает 1 января 2017 года или позже, и которые включают SHA1-сертификаты. подпись как часть цепочки сертификатов, будут рассматриваться как «безусловно небезопасные». На доверенные корневые сертификаты, использующие SHA1, это не влияет. Клиенты доверяют им в целях идентификации, а не из-за надежности их алгоритма подписи ». Это прямая цитата из приведенной выше ссылки.

Я проверил ваш сертификат - он истекает после 01/2017, и хотя сертификат для вашего домена был подписан с использованием SHA-2, сертификат промежуточной цепочки для «ЦС первичного промежуточного сервера StartCom Class 2», который вы используете, использует алгоритм подписи SHA-1. Промежуточное звено также истекает после 01/2017.

Извините, добавил бы в качестве комментария, но недостаточно репутации. Посмотреть здесь: https://security.stackexchange.com/questions/52834/what-exactly-does-it-mean-when-chrome-reports-a-certificate-does-not-have-publi