La valutazione A + non è ancora sicura secondo l'opinione di Google Chrome

Sto eseguendo il provisioning del mio server su DigitalOcean e sebbene ottenga un punteggio A + da ssllabs,

https://www.ssllabs.com/ssltest/analyze.html?d=zandu.biz

quando mi collego al mio sito, https://www.zandu.biz o https://zandu.biz , ricevo un avviso non sicuro all'interno di Chrome.

Come lo risolvo?

ssl apache-2.4 lets-encrypt

— L'architetto
fonte

Questo server non ha potuto dimostrare che è www.zandu.biz; il suo certificato di sicurezza proviene da zandu.biz. Ciò può essere causato da un'errata configurazione o da un utente malintenzionato che intercetta la connessione.

Il nome nel certificato del tuo sito è zandu.biz, che non è valido per un altro nome (www.zandu.biz). Inoltre, hai un reindirizzamento da zandu.biz a www.zandu.biz, quindi se usi il nome il certificato è valido perché reindirizza al nome che non lo è.

Ciò di cui hai bisogno è ottenere un certificato con entrambi i nomi .

— ZRM
fonte

I certificati jolly possono essere più convenienti o necessari se i nomi che si intende utilizzare non sono effettivamente noti in anticipo. Ma aumentano anche la tua esposizione se la chiave privata associata è compromessa perché l'aggressore può falsificare qualsiasi nome nel tuo dominio anziché solo quelli che il server stava effettivamente utilizzando.

— zrm,

Let's Encrypt è una CA. Quando hanno iniziato per la prima volta, sono stati firmati da IdenTrust, ma questo termina nel 2020 perché il loro certificato di root è ora ampiamente attendibile. Niente di tutto ciò ha a che fare con il tuo problema, che sarebbe stato lo stesso in entrambi i casi.

— zrm,

s / Nome comune / Nome alternativo oggetto / - Chrome non ha utilizzato Nome comune a tutti per 2 anni; altri browser lo fanno solo se la SAN è assente, il che non è vero per nessun certificato (EE) da autorità pubbliche di CA da prima del 2010, anche se è possibile organizzarlo per certificati di test creati dall'utente. Questo è esattamente il motivo per cui è possibile ottenere un certificato per più domini: gli antichi certificati che utilizzano solo il nome comune non potevano farlo.

— dave_thompson_085,

@djdomi un certificato jolly per *.example.comancora non copre il dominio nudo example.com. Sono ancora necessari due valori nella SAN.

— Michael - sqlbot,

Il motivo principale per evitare un certificato jolly è che OP utilizza LetsEncrypt. Mentre LetsEncrypt supporta i certificati con caratteri jolly, ciò richiede una sfida DNS. Soddisfare una sfida DNS è più difficile da automatizzare. Inoltre, automatizzare una sfida DNS può significare che un server compromesso concederà agli aggressori l'accesso al tuo DNS. Quindi, è sufficiente utilizzare un certificato UCC o due certificati (il cui approccio non conta molto. Fare quello che è più semplice).

— Brian,