Instalé StartSSL en mi servidor web que ejecuta Linux Apache en CentOS 6.5. shaaaaaaaaaaaaa.com dijo
Lindo. example.com tiene una cadena de certificados verificable firmada con SHA-2.
Sin embargo, Google Chrome en Debian 7.8 dijo
La conexión se cifra mediante AES_128_CBC, con SHA1 para autenticación y ECDHE_RSA como mecanismo de intercambio de claves.
En la caja de Debian, lo hice
mkdir ~/StartComCerts
mv /etc/ssl/certs/StartCom* ~/StartComCerts
y el problema desapareció. Sin embargo, esperar que los clientes realicen cambios en sus computadoras no es una solución viable. Entonces compré el certificado GeoTrust QuickSSL Premium en ssls.com. Después fuí ahttps://knowledge.geotrust.com/support/knowledge-basey decía "El certificado está instalado correctamente". Sin embargo, cuando visito mi sitio usando Chrome en Debian 7.8, recibo los mensajes:
Este sitio utiliza una configuración de seguridad débil (firmas SHA-1), por lo que es posible que su conexión no sea privada.
y
El sitio utiliza configuraciones de seguridad obsoletas que pueden impedir que futuras versiones de Chrome puedan acceder a él de forma segura.
Probé mi sitio en www.ssllabs.com/ssltest/analyze.html. Calificó mi sitio con una A y dijo que mi algoritmo de firma es SHA256withRSA. Fui a shaaaaaaaaaaaaa.com y dije
Lindo. example.com tiene una cadena de certificados verificable firmada con SHA-2.
Fui a Whynopadlock.com y todo salió positivo. También probé con Chrome en otra computadora, con Windows 7, y obtuve un candado verde sin mensajes de error.
No sé por qué aparece el error SHA-1 en Chrome en Debian.
Editar - 2015-06-15
También tengo un problema de Sha-1 en algunos sistemas Windows. A continuación se muestra la captura de pantalla de Google Chrome en mi sistema Windows doméstico (izquierda) y en mi sistema Windows de trabajo (derecha). Parece estar utilizando un certificado en caché Sha-1 en diferentes sistemas. Configuré el certificado intermedio según las instrucciones dadas por GeoTrust.
Editar:
Tengo un negocio desde casa que es el propósito de mi sitio web.
Respuesta1
El problema es que su computadora con Windows tiene instalado el antivirus Avast. Avast inyecta un certificado SSL entre el sitio web y Google Chrome. Consulte "Escudo de correo/web de Avast" en la parte superior de la imagen izquierda.
Google Chrome muestra una advertencia en su computadora ya que Chrome valida el certificado falsificado localmente. Avast AntiVirus falsifica los certificados SSL para poder ver y escanear el tráfico SSL. Los análisis como los de los laboratorios Qualys SSL le dirán la verdad.
Puede desactivar Avast Web/Mail Shield y volver a intentarlo en Google Chrome. De esa manera, Chrome validará el certificado que sirve su servidor y no el certificado SSL inyectado/falsificado que Avast inyecta entre su servidor y Google Chrome.
En la imagen de la izquierda estás viendo la información sobre el certificado SSL de Avast. A la derecha encontrará información sobre su propio certificado SSL GeoTrust.
Supongo que también usa la versión Linux de Avast en su máquina Debian y eso genera una situación similar a la de la máquina Windows.
Respuesta2
El problema es que su certificado utiliza SHA1 como algoritmo de firma. Si su certificado realmente usa SHA2, verifique todos los certificados intermedios (y raíz) de su cadena. Cada certificado debe utilizar SHA2.
SHA1 es una tecnología antigua (débil) y ya no debería utilizarse. La mayoría de los proveedores de PKI tienen ambas posibilidades. Simplemente descargue los certificados de cadena SHA2 y cárguelos en su servidor. Entonces el problema estará resuelto.
Como está utilizando un certificado SHA2 (como se ve arriba), el problema está en uno de los certificados intermedios. Verifíquelos todos para SHA1 y obtenga los SHA2 en su lugar.