Instalei o StartSSL no meu servidor web que está executando o Linux Apache no CentOS 6.5. shaaaaaaaaaaaaa.com disse
Legal. example.com possui uma cadeia de certificados verificável assinada com SHA-2.
No entanto, o Google Chrome no Debian 7.8 disse
A conexão é criptografada usando AES_128_CBC, com SHA1 para autenticação e ECDHE_RSA como mecanismo de troca de chaves.
Na caixa do Debian, eu fiz
mkdir ~/StartComCerts
mv /etc/ssl/certs/StartCom* ~/StartComCerts
e o problema desapareceu. No entanto, esperar que os clientes façam alterações nos seus computadores não é uma solução viável. Então, comprei o certificado GeoTrust QuickSSL Premium em ssls.com. Então eu fui parahttps://knowledge.geotrust.com/support/knowledge-basee dizia "O certificado está instalado corretamente". No entanto, quando vou ao meu site usando o Chrome no Debian 7.8, recebo as mensagens:
Este site usa uma configuração de segurança fraca (assinaturas SHA-1), portanto sua conexão pode não ser privada.
e
O site está usando configurações de segurança desatualizadas que podem impedir que versões futuras do Chrome possam acessá-lo com segurança.
Testei meu site em www.ssllabs.com/ssltest/analyze.html. Ele avaliou meu site com A e disse que meu algoritmo de assinatura é SHA256withRSA. Eu fui para shaaaaaaaaaaaaa.com disse
Legal. example.com possui uma cadeia de certificados verificável assinada com SHA-2.
Acessei Whynopadlock.com e tudo deu positivo. Também testei com o Chrome em outro computador, rodando Windows 7, e recebi um cadeado verde sem mensagens de erro.
Não sei por que estou recebendo o erro SHA-1 no Chrome no Debian.
Editar - 15/06/2015
Também tenho um problema de Sha-1 em alguns sistemas Windows. Abaixo está a captura de tela do Google Chrome no meu sistema Windows doméstico (à esquerda) e no meu sistema Windows de trabalho (à direita). Parece estar usando um certificado em cache Sha-1 em sistemas diferentes. Configurei o certificado intermediário de acordo com as instruções fornecidas pela GeoTrust.
Editar:
Tenho um negócio em casa que é o objetivo do meu site.
Responder1
O problema é que o seu computador Windows possui o antivírus Avast instalado. Avast injeta um certificado SSL entre o site e o Google Chrome. Consulte "Avast web/mail Shield" no topo da imagem à esquerda.
O Google Chrome mostra um aviso no seu computador porque o Chrome valida o certificado falsificado localmente. O Avast AntiVirus falsifica os certificados SSL para que eles possam ver e verificar o tráfego SSL. Varreduras como os laboratórios Qualys SSL dirão a verdade.
Você pode desativar o escudo Avast Web/Mail e tentar novamente no Google Chrome. Dessa forma, o Chrome validará o certificado que seu servidor atende e não o certificado SSL injetado/falsificado que o Avast injeta entre seu servidor e o Google Chrome.
Na imagem à esquerda você vê as informações sobre o certificado SSL do Avast. À direita, informações sobre seu próprio certificado SSL GeoTrust.
Presumo que você também use a versão Linux do Avast em sua máquina Debian e isso gera uma situação semelhante à da máquina Windows.
Responder2
O problema é que seu certificado usa SHA1 como alogrythmus de assinatura. Se o seu certificado realmente usa SHA2, verifique todos os certificados intermediários (e raiz) da sua cadeia. Cada certificado deve usar SHA2.
SHA1 é uma tecnologia antiga (fraca) e não deveria mais ser usada. A maioria dos provedores de PKI oferece ambas as possibilidades. Basta baixar os certificados da cadeia SHA2 e carregá-los em seu servidor. Então o problema estará resolvido.
Como você está usando um certificado SHA2 (como visto acima), o problema está em um dos certificados intermediários. Verifique todos eles para SHA1 e obtenha os SHA2.