Certificato SSL non valido in Chrome


9

Per il sito Web scirra.com ( fare clic per Risultati test server SSL Labs ) Google Chrome riporta la seguente icona:

Inserisci qui la descrizione dell'immagine

È un SSL EV e sembra funzionare bene in Firefox e Internet Explorer, ma non Chrome. Qual è la ragione di ciò?


In realtà, fare riferimento a siti Web non è una buona pratica, forse se
pagassi i

6
@PeterHorvath Non sarebbe valido includere il dominio per una domanda come questa? Come possiamo determinare la causa del problema senza esaminare il certificato effettivo? Tuttavia, ho suggerito una modifica con il dominio in testo semplice e un collegamento al test del server SSL Qualys.
Paul,

1
@Paul Questo perché l'ho solo avvertito e non ho fatto altro. E ora ho persino votato per la sua domanda perché penso che lo meriti. Normalmente, durante le recensioni, se troviamo un link esterno, deve essere esaminato se non è una "gemma nascosta" o simili. È molto meglio se l'URL proviene da un sito noto (imgur, jsfiddle, ecc.).
Peter - Ripristina Monica il


Immagino che tutti i browser sul mercato saranno sunsetting SHA-1. Google ha appena preso l'iniziativa.
Taco,

Risposte:


15

Quello che vedi ora non è la "barra degli indirizzi verde" che ti aspetteresti con un certificato EV, ma quanto segue:

inserisci qui la descrizione dell'immagine

Il motivo è il seguente annuncio sul blog di Google Online Security :

L'algoritmo di hash crittografico SHA-1 è stato conosciuto per essere considerevolmente più debole di quanto non fosse progettato da almeno 2005 - 9 anni fa. Gli attacchi di collisione contro SHA-1 sono troppo convenienti per noi per considerarli sicuri per la PKI web pubblica. Possiamo solo aspettarci che gli attacchi diventino più economici.

Ecco perché Chrome inizierà il processo di sunsetting SHA-1 (utilizzato nelle firme dei certificati per HTTPS) con Chrome 39 a novembre. ... I siti con certificati di entità finale che scadono tra il 1o giugno 2016 e il 31 dicembre 2016 (incluso) e che includono una firma basata su SHA-1 come parte della catena di certificati, saranno trattati come "sicuri, ma con minore errori".

Il "sicuro ma con errori minori" è indicato dal segnale di avvertimento nel lucchetto e le impostazioni di sicurezza obsolete nel messaggio esteso sono il fatto che il certificato si basa sull'algoritmo hash SHA-1.

Quello che devi fare è il seguente:

Genera una nuova chiave privata con un hash SHA-256 e una nuova Richiesta di firma certificato (CSR) e fai in modo che il tuo provider SSL ti rilasci con un nuovo certificato. Con i certificati EV, una nuova emissione richiede in genere più o meno gli stessi cerchi che è stato necessario saltare per ottenere il certificato inizialmente, ma è necessario ottenere un nuovo certificato valido fino alla stessa data di scadenza del certificato corrente senza costi aggiuntivi.

In openssl useresti qualcosa come la seguente riga di comando:

openssl req -nodes -sha256 -newkey rsa:2048 -keyout www.scirra.com.sha256.key -out www.scirra.com.sha256.csr

1
Ho notato nei risultati dei test del server SSL Labs che la firma del server HTTP è Microsoft-IIS / 7.5. Non ho usato nessuno dei prodotti server di Microsoft, quindi non ero sicuro che il tuo opensslcomando fosse un'opzione per questo utente.
Paul,

1
Non è necessario generare una nuova chiave. Puoi semplicemente ottenere un nuovo certificato per la tua chiave attuale, come mostrato nella risposta di taco. Non importa in entrambi i casi, tranne che per la masterizzazione di alcuni cicli della CPU che generano numeri primi.
Matt Nordhoff,

10

Ciò è dovuto al piano di tramonto di Google per SHA-1 .

  • Non vi è alcun problema di sicurezza immediato.
  • SHA-2 è l'attuale algoritmo di hashing consigliato per SSL. Non sono state segnalate violazioni dei certificati che utilizzano SHA-1.
  • La visualizzazione di indicatori dell'interfaccia utente degradati su Chrome 39 e versioni successive fa parte del piano di ammortamento SHA-1 di Google e si applicherà a tutte le autorità di certificazione (CA).
  • L'interfaccia utente degradata sarà visibile solo dagli utenti di Chrome 39 e versioni successive, non delle versioni precedenti. Contatta il tuo fornitore SSL dopo che il tuo amministratore di sistema ha individuato la tua chiave privata esistente (sul tuo server web) e eseguiranno una riemissione del certificato con SHA-2 gratuitamente. Avrai bisogno di un nuovo CSR.

Di seguito verrà creato un nuovo CSR su OSX / Linux se è installato OpenSSL (fare riferimento ai campi del certificato SSL esistenti poiché il dominio (noto anche come "Nome comune") deve rimanere lo stesso:

Linux / OSX:

openssl req -new -sha256 -key myexistingprivate.key -out newcsr.csr

Per Windows, vedi questo articolo TechNet .

A questo punto potrebbe essere necessario contattare il proprio rivenditore per assistenza, se non si vede un'opzione di riemissione tramite il loro portale SSL. Il sito Web di Comodo sembra dettagliare come farlo se questa non è abbastanza informazione per te.

Una volta installato il certificato SHA-2, questo eliminerà il "problema" che vedi in Chrome.


5

È necessario il certificato SHA2 per farlo scomparire. Maggiori informazioni su SHA-1 a tramonto graduale


2
SSL Labs segnala correttamente che il mio sito Web ha ancora un certificato SHA1, ma non ha gli stessi avvisi in Chrome. Tuttavia, SSL Labs riporta che scirra.com ha molti altri problemi, tra cui SSL 3, RC4 e senza FS. Sospetto non sia solo che il certificato sia firmato con SHA1, ma anche che la sua data di scadenza sia successiva al tramonto SHA1 (2016).
Paul,

1
@Paul che è incluso nel link. Sites with end-entity certificates that expire on or after 1 January 2017, and which include a SHA-1-based signature as part of the certificate chain, will be treated as “neutral, lacking security”.
falso

2
I siti di @faker SE disapprovano le risposte o le domande che si basano su informazioni contenute nei collegamenti. Le informazioni pertinenti dovrebbero essere incluse. In effetti, arriverei al punto di affermare che questa risposta è tecnicamente errata, poiché l'utente potrebbe risolvere il problema utilizzando un certificato SHA1 che scade prima del 2016.
Paul

1
@Paul abbastanza giusto, ma hai detto che sospetti che questo sia il motivo. Stavo solo chiarendo ...
Faker

3
Dai un'occhiata a come fanno le cose con Stack Overflow . Questa è una risposta molto migliore della tua.
Paul,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.