Я установил StartSSL на свой веб-сервер, работающий под управлением Linux Apache на CentOS 6.5. shaaaaaaaaaaaaa.com сказал
Хорошо. example.com имеет проверяемую цепочку сертификатов, подписанную с помощью SHA-2.
Однако Google Chrome на Debian 7.8 сказал
Соединение шифруется с использованием AES_128_CBC, SHA1 для аутентификации и ECDHE_RSA в качестве механизма обмена ключами.
На Debian-боксе я сделал следующее:
mkdir ~/StartComCerts
mv /etc/ssl/certs/StartCom* ~/StartComCerts
и проблема исчезла. Однако, ожидание от клиентов внесения изменений в свои компьютеры не является работоспособным решением. Поэтому я купил сертификат GeoTrust QuickSSL Premium на ssls.com. Затем я пошел наhttps://knowledge.geotrust.com/support/knowledge-baseи там было написано "Сертификат установлен правильно". Однако, когда я захожу на свой сайт с помощью Chrome на Debian 7.8, я получаю сообщения:
Этот сайт использует слабую конфигурацию безопасности (подписи SHA-1), поэтому ваше соединение может быть незащищенным.
и
На сайте используются устаревшие настройки безопасности, которые могут помешать будущим версиям Chrome безопасно получить к нему доступ.
Я протестировал свой сайт на www.ssllabs.com/ssltest/analyze.html. Он оценил мой сайт на A и сказал, что мой алгоритм подписи - SHA256withRSA. Я зашел на shaaaaaaaaaaaaa.com сказал
Хорошо. example.com имеет проверяемую цепочку сертификатов, подписанную с помощью SHA-2.
Я зашел на whynopadlock.com и все прошло успешно. Я также протестировал Chrome на другом компьютере с Windows 7 и получил зеленый замок без сообщений об ошибках.
Я не знаю, почему я получаю ошибку SHA-1 в Chrome на Debian.
Редактировать - 2015-06-15
У меня также есть проблема с Sha-1 на некоторых системах Windows. Ниже приведен снимок экрана из Google Chrome на моей домашней системе Windows (слева) и на моей рабочей системе Windows (справа). Похоже, что он использует кэшированный сертификат Sha-1 на разных системах. Я настроил промежуточный сертификат в соответствии с инструкциями, данными GeoTrust.
Редактировать:
У меня есть домашний бизнес, которому и посвящен мой веб-сайт.
решение1
Проблема в том, что на вашем компьютере Windows установлен антивирус Avast. Avast внедряет SSL-сертификат между веб-сайтом и Google Chrome. См. «Avast web/mail shield» в верхней части левого изображения.
Google Chrome показывает предупреждение на вашем компьютере, так как Chrome проверяет локально поддельный сертификат. Avast AntiVirus подделывает SSL-сертификаты, чтобы видеть и сканировать SSL-трафик. Сканирования, такие как Qualys SSL labs, скажут вам правду.
Вы можете отключить Avast Web/Mail shield и повторить попытку в Google Chrome. Таким образом, Chrome проверит сертификат, который обслуживает ваш сервер, а не внедренный/поддельный SSL-сертификат, который Avast внедряет между вашим сервером и Google Chrome.
На левом изображении вы смотрите на информацию о сертификате Avast SSL. На правом — на информацию о вашем собственном сертификате GeoTrust SSL.
Я предполагаю, что вы также используете версию Avast для Linux на своей машине с Debian, и это создает такую же ситуацию, как и на машине с Windows.
решение2
Проблема в том, что ваш сертификат использует SHA1 в качестве алгоритма подписи. Если ваш сертификат на самом деле использует SHA2, проверьте все промежуточные (и корневые) сертификаты в вашей цепочке. Каждый сертификат должен использовать SHA2.
SHA1 — старая (слабая) технология, и ее больше не следует использовать. Большинство поставщиков PKI имеют обе возможности. Просто загрузите сертификаты цепочки SHA2 и загрузите их на свой сервер. Тогда проблема будет решена.
Поскольку вы используете сертификат SHA2 (как показано выше), проблема должна быть в одном из промежуточных сертификатов. Проверьте их все на SHA1 и вместо этого получите SHA2.