我在我的 Web 伺服器上安裝了 StartSSL,該伺服器在 CentOS 6.5 上運行 Linux Apache。 shaaaaaaaaaaaaa.com 說
好的。 example.com 具有使用 SHA-2 簽署的可驗證憑證鏈。
然而 Debian 7.8 上的 Google Chrome 表示
連線使用 AES_128_CBC 加密,使用 SHA1 進行驗證,使用 ECDHE_RSA 作為金鑰交換機制。
在 Debian 盒子上,我做了
mkdir ~/StartComCerts
mv /etc/ssl/certs/StartCom* ~/StartComCerts
然後問題就消失了。然而,期望客戶對其計算機進行更改並不是一個可行的解決方案。因此,我從 ssls.com 購買了 GeoTrust QuickSSL Premium 憑證。然後我去了https://knowledge.geotrust.com/support/knowledge-base它說“證書已正確安裝”。但是,當我在 Debian 7.8 上使用 Chrome 造訪我的網站時,我收到以下訊息:
此網站使用較弱的安全性配置(SHA-1 簽章),因此您的連線可能不是私有的。
和
該網站使用過時的安全設置,可能會阻止未來版本的 Chrome 安全訪問該網站。
我在 www.ssllabs.com/ssltest/analyze.html 上測試了我的網站。它給我的網站評級為 A,並說我的簽名演算法是 SHA256withRSA。我去了 shaaaaaaaaaaaaaa.com 說
好的。 example.com 具有使用 SHA-2 簽署的可驗證憑證鏈。
我造訪了 Whynopadlock.com,結果一切正常。我還在另一台運行 Windows 7 的電腦上使用 Chrome 進行了測試,並獲得了一個綠色的掛鎖,沒有錯誤訊息。
我不知道為什麼在 Debian 上的 Chrome 上出現 SHA-1 錯誤。
編輯 - 2015-06-15
我在某些 Windows 系統上也遇到 Sha-1 問題。以下是我的家庭 Windows 系統(左)和我的工作 Windows 系統(右)上的 Google Chrome 螢幕截圖。它似乎在不同的系統上使用 Sha-1 快取憑證。我按照 GeoTrust 給出的說明設定了中間憑證。
編輯:
我有一家家庭企業,這就是我網站的目的。
答案1
問題是您的 Windows 電腦安裝了 Avast 防毒軟體。 Avast 在網站和 Google Chrome 之間注入 SSL 憑證。請參閱左圖頂部的「Avast 網路/郵件封鎖」。
由於 Chrome 會驗證本地欺騙的證書,因此 Google Chrome 會在您的電腦上顯示警告。 Avast AntiVirus 會欺騙 SSL 證書,以便他們可以查看和掃描 SSL 流量。像 Qualys SSL 實驗室這樣的掃描會告訴你真相。
您可以停用 Avast Web/Mail 封鎖並在 Google Chrome 中重試。這樣,Chrome 將驗證您的伺服器提供的證書,而不是 Avast 在您的伺服器和 Google Chrome 之間注入的注入/欺騙的 SSL 證書。
在左圖中,您正在查看有關 Avast SSL 憑證的資訊。右側提供您自己的 GeoTrust SSL 憑證的資訊。
我假設您還在 Debian 電腦上使用 Linux 版本的 Avast,這會產生與 Windows 電腦上類似的情況。
答案2
問題是,您的憑證使用 SHA1 作為簽章演算法。如果您的憑證實際上使用 SHA2,請檢查鏈中的所有中間(和根)憑證。每個憑證都必須使用 SHA2。
SHA1 是舊(弱)技術,不應再使用。大多數 PKI 提供者都有這兩種可能性。只需下載 SHA2 鏈憑證並將其上傳到您的伺服器。那麼問題就解決了。
由於您使用的是 SHA2 憑證(如上圖),因此問題出在中間憑證之一。檢查所有 SHA1 並取得 SHA2。