Certificato SSL non valido in Chrome

Per il sito Web scirra.com ( fare clic per Risultati test server SSL Labs ) Google Chrome riporta la seguente icona:

È un SSL EV e sembra funzionare bene in Firefox e Internet Explorer, ma non Chrome. Qual è la ragione di ciò?

Quello che vedi ora non è la "barra degli indirizzi verde" che ti aspetteresti con un certificato EV, ma quanto segue:

Il motivo è il seguente annuncio sul blog di Google Online Security :

L'algoritmo di hash crittografico SHA-1 è stato conosciuto per essere considerevolmente più debole di quanto non fosse progettato da almeno 2005 - 9 anni fa. Gli attacchi di collisione contro SHA-1 sono troppo convenienti per noi per considerarli sicuri per la PKI web pubblica. Possiamo solo aspettarci che gli attacchi diventino più economici.

Ecco perché Chrome inizierà il processo di sunsetting SHA-1 (utilizzato nelle firme dei certificati per HTTPS) con Chrome 39 a novembre. ... I siti con certificati di entità finale che scadono tra il 1o giugno 2016 e il 31 dicembre 2016 (incluso) e che includono una firma basata su SHA-1 come parte della catena di certificati, saranno trattati come "sicuri, ma con minore errori".

Il "sicuro ma con errori minori" è indicato dal segnale di avvertimento nel lucchetto e le impostazioni di sicurezza obsolete nel messaggio esteso sono il fatto che il certificato si basa sull'algoritmo hash SHA-1.

Quello che devi fare è il seguente:

Genera una nuova chiave privata con un hash SHA-256 e una nuova Richiesta di firma certificato (CSR) e fai in modo che il tuo provider SSL ti rilasci con un nuovo certificato. Con i certificati EV, una nuova emissione richiede in genere più o meno gli stessi cerchi che è stato necessario saltare per ottenere il certificato inizialmente, ma è necessario ottenere un nuovo certificato valido fino alla stessa data di scadenza del certificato corrente senza costi aggiuntivi.

In openssl useresti qualcosa come la seguente riga di comando:

openssl req -nodes -sha256 -newkey rsa:2048 -keyout www.scirra.com.sha256.key -out www.scirra.com.sha256.csr

Ciò è dovuto al piano di tramonto di Google per SHA-1 .

• Non vi è alcun problema di sicurezza immediato.
• SHA-2 è l'attuale algoritmo di hashing consigliato per SSL. Non sono state segnalate violazioni dei certificati che utilizzano SHA-1.
• La visualizzazione di indicatori dell'interfaccia utente degradati su Chrome 39 e versioni successive fa parte del piano di ammortamento SHA-1 di Google e si applicherà a tutte le autorità di certificazione (CA).
• L'interfaccia utente degradata sarà visibile solo dagli utenti di Chrome 39 e versioni successive, non delle versioni precedenti. Contatta il tuo fornitore SSL dopo che il tuo amministratore di sistema ha individuato la tua chiave privata esistente (sul tuo server web) e eseguiranno una riemissione del certificato con SHA-2 gratuitamente. Avrai bisogno di un nuovo CSR.

Di seguito verrà creato un nuovo CSR su OSX / Linux se è installato OpenSSL (fare riferimento ai campi del certificato SSL esistenti poiché il dominio (noto anche come "Nome comune") deve rimanere lo stesso:

Linux / OSX:

openssl req -new -sha256 -key myexistingprivate.key -out newcsr.csr

Per Windows, vedi questo articolo TechNet .

A questo punto potrebbe essere necessario contattare il proprio rivenditore per assistenza, se non si vede un'opzione di riemissione tramite il loro portale SSL. Il sito Web di Comodo sembra dettagliare come farlo se questa non è abbastanza informazione per te.

Una volta installato il certificato SHA-2, questo eliminerà il "problema" che vedi in Chrome.

È necessario il certificato SHA2 per farlo scomparire. Maggiori informazioni su SHA-1 a tramonto graduale