Назад | Перейти на главную страницу

Google Chrome сообщает, что мой SSL использует устаревшие настройки безопасности, но другие тесты сайта не согласны

Я установил StartSSL на свой веб-сервер, на котором работает Linux Apache на CentOS 6.5. shaaaaaaaaaaaaa.com сказал

Ницца. example.com имеет проверяемую цепочку сертификатов, подписанную с помощью SHA-2.

Однако Google Chrome на Debian 7.8 сказал

Соединение зашифровано с использованием AES_128_CBC, с SHA1 для аутентификации и ECDHE_RSA в качестве механизма обмена ключами.

В коробке с Debian я сделал

mkdir ~/StartComCerts
mv /etc/ssl/certs/StartCom* ~/StartComCerts

и проблема ушла. Однако ожидание того, что клиенты будут вносить изменения в свои компьютеры, - не подходящее решение. Итак, я купил сертификат GeoTrust QuickSSL Premium на сайте ssls.com. Затем я пошел в https://knowledge.geotrust.com/support/knowledge-base и он сказал: «Сертификат установлен правильно». Однако, когда я захожу на свой сайт с помощью Chrome в Debian 7.8, я получаю сообщения:

Этот сайт использует слабую конфигурацию безопасности (подписи SHA-1), поэтому ваше соединение может быть закрытым.

и

На сайте используются устаревшие настройки безопасности, которые могут помешать будущим версиям Chrome получить к нему безопасный доступ.

Я тестировал свой сайт на www.ssllabs.com/ssltest/analyze.html. Он оценил мой сайт на пятерку и сказал, что мой алгоритм подписи - SHA256withRSA. Я пошел на шаааааааааааа.com сказал

Ницца. example.com имеет проверяемую цепочку сертификатов, подписанную с помощью SHA-2.

Я зашел на whynopadlock.com, и все прошло положительно. Я также тестировал Chrome на другом компьютере под управлением Windows 7 и получил зеленый замок без сообщений об ошибках.

Я не знаю, почему я получаю ошибку SHA-1 в Chrome на Debian.

Изменить - 2015-06-15

У меня также есть проблема с Sha-1 в некоторых системах Windows. Ниже приведен снимок экрана из Google Chrome в моей домашней системе Windows (слева) и в моей рабочей системе Windows (справа). Похоже, что в разных системах используется кэшированный сертификат Sha-1. Я установил промежуточный сертификат в соответствии с инструкциями, предоставленными GeoTrust.

Редактировать:

У меня есть домашний бизнес, и это цель моего веб-сайта.

Проблема в том, что на вашем компьютере с Windows установлен антивирус Avast. Avast вставляет сертификат SSL между веб-сайтом и Google Chrome. См. «Avast Web / Mail Shield» в верхней части левого изображения.

Google Chrome показывает предупреждение на вашем компьютере, поскольку Chrome проверяет локально подделанный сертификат. Avast AntiVirus подделывает сертификаты SSL, чтобы они могли видеть и сканировать трафик SSL. Сканирование, такое как Qualys SSL labs, скажет вам правду.

Вы можете отключить Avast Web / Mail Shield и повторить попытку в Google Chrome. Таким образом, Chrome будет проверять сертификат, который обслуживает ваш сервер, а не внедренный / поддельный сертификат SSL, который Avast вводит между вашим сервером и Google Chrome.

На левом изображении вы видите информацию о сертификате Avast SSL. Справа - информация о вашем собственном SSL-сертификате GeoTrust.

Я предполагаю, что вы также используете версию Avast для Linux на своей машине Debian, и это создает аналогичную ситуацию, что и на машине Windows.

Проблема в том, что ваш сертификат использует SHA1 как подпись alogrythmus. Если ваш сертификат действительно использует SHA2, проверьте все промежуточные (и корневые) сертификаты в вашей цепочке. Каждый сертификат должен использовать SHA2.

SHA1 - это старая (слабая) технология, и ее больше не следует использовать. У большинства провайдеров PKI есть обе возможности. Просто скачайте сертификаты цепочки SHA2 и загрузите их на свой сервер. Тогда проблема будет решена.

Поскольку вы используете сертификат SHA2 (как показано выше), проблема связана с одним из промежуточных сертификатов. Проверьте их все на наличие SHA1 и получите взамен SHA2.