У меня есть сертификат RapidSSL, и в инструкциях меня просят включить в мою цепочку: RapidSSL SHA256 CA - G3, корень глобального CA GeoTrust и корневой центр сертификации Equifax Secure.
Однако это создает всевозможные предупреждения на SSLLabs.com (SHA1withRSA - WEAK SIGNATURE) с корневыми сертификатами GeoTrust и Equifax. Я также вижу предупреждение «Промежуточный сертификат имеет слабую подпись. Обновите SHA2 как можно скорее, чтобы избежать предупреждений браузера».
Теперь, если я удалю сертификаты GeoTrust и Equifax из своей цепочки (и у меня останется только мой сертификат + RapidSSL SHA256 CA - G3), он исправит все эти предупреждения, и все будет в порядке.
Он также по-прежнему отображает сертификат «GeoTrust Global CA» с зеленым сообщением «В хранилище доверенных сертификатов».
Будут ли у меня проблемы с SSL, если в моей сети не будут сертификаты GeoTrust и Equifax?
Вывод SSL Labs (мой сертификат + RapidSSL SHA256 CA - G3):
Additional Certificates (if supplied)
Certificates provided 2 (2279 bytes)
Chain issues None
#2
Subject RapidSSL SHA256 CA - G3
Fingerprint: 0e34141846e7423d37f20dc0ab06c9bbd843dc24
Valid until Fri, 20 May 2022 21:39:32 UTC (expires in 6 years and 9 months)
Key RSA 2048 bits (e 65537)
Issuer GeoTrust Global CA
Signature algorithm SHA256withRSA
Certification Paths
Path #1: Trusted
1 Sent by server www.example.com
Fingerprint: fbea1fc476bcee2eae7a1001e4a37bf560d0c013
RSA 2048 bits (e 65537) / SHA256withRSA
2 Sent by server RapidSSL SHA256 CA - G3
Fingerprint: 0e34141846e7423d37f20dc0ab06c9bbd843dc24
RSA 2048 bits (e 65537) / SHA256withRSA
3 In trust store GeoTrust Global CA Self-signed
Fingerprint: de28f4a4ffe5b92fa3c503d1a349a7f9962a8212
RSA 2048 bits (e 65537) / SHA1withRSA
Weak or insecure signature, but no impact on root certificate
Похоже, это тот случай, когда центры сертификации выполнили перекрестное подписание.
Ваш сертификат заканчивается двумя цепочками:
Цепочка 1:
Path #1: Trusted
1 Sent by server www.example.com
Fingerprint: fbea1fc476bcee2eae7a1001e4a37bf560d0c013
RSA 2048 bits (e 65537) / SHA256withRSA
2 Sent by server RapidSSL SHA256 CA - G3
Fingerprint: 0e34141846e7423d37f20dc0ab06c9bbd843dc24
RSA 2048 bits (e 65537) / SHA256withRSA
3 In trust store GeoTrust Global CA Self-signed
Fingerprint: de28f4a4ffe5b92fa3c503d1a349a7f9962a8212
RSA 2048 bits (e 65537) / SHA1withRSA
Weak or insecure signature, but no impact on root certificate
Цепочка 2:
Path #2: Trusted
1 Sent by server www.example.com
Fingerprint: fbea1fc476bcee2eae7a1001e4a37bf560d0c013
RSA 2048 bits (e 65537) / SHA256withRSA
2 Sent by server RapidSSL SHA256 CA - G3
Fingerprint: 0e34141846e7423d37f20dc0ab06c9bbd843dc24
RSA 2048 bits (e 65537) / SHA256withRSA
3 Sent by server GeoTrust Global CA
Fingerprint: 7359755c6df9a0abc3060bce369564c8ec4542a3
RSA 2048 bits (e 65537) / SHA1withRSA
WEAK SIGNATURE
4 In trust store Equifax / Equifax Secure Certificate Authority Self-signed
Fingerprint: d23209ad23d314232174e40d7f9d62139786633a
RSA 1024 bits (e 65537) / SHA1withRSA
WEAK KEY IN MOZILLA'S TRUST STORE MORE INFO »
Weak or insecure signature, but no impact on root certificate
(из вашего отчета SSL Labs)
На самом деле, «Цепочка 1» является основным вариантом, а «Цепочка 2», вероятно, представляла интерес, когда этот сертификат GeoTrust CA был впервые представлен, и не у всех был сертификат GeoTrust (de28f4a4ffe5b92fa3c503d1a349a7f9962a8212) в своих списках, хотя, вероятно, у всех был Equifax (d23209ad23d314232174e40d7f9d62139786633a).
Обе цепи технически все еще действительны, но та, которая начинается с корня Equifax, показывает свой возраст. У него есть 1024-битный корневой сертификат (сейчас считается слабым), а первый промежуточный сертификат подписан SHA1 (сейчас считается слабым).
Я бы сказал, что в этом случае, вероятно, мало смысла в обслуживании промежуточных сертификатов для «Цепи 2».
Если вам нужно подтверждение, поинтересоваться, почему они все еще просят вас предоставить сертификаты для «Цепочки 2», или интересно, какие могут быть проблемы совместимости, если этого не сделать, я бы порекомендовал вам спросить свой CA