Niepoprawny certyfikat SSL w Chrome

9

W przypadku witryny scirra.com ( kliknij, aby wyświetlić wyniki testu serwera SSL Labs ) Google Chrome zgłasza następującą ikonę:

Wpisz opis zdjęcia tutaj

Jest to EV SSL i wygląda na to, że działa dobrze w Firefox i Internet Explorer, ale nie w Chrome. Jaki jest tego powód?

Tom Gullen
źródło
W rzeczywistości odsyłanie stron internetowych nie jest dobrą praktyką, być może gdybyś zapłacił koszty reklamy firmie SE ...
peterh - Przywróć Monikę
6
@PeterHorvath Czy nie byłoby prawidłowe dołączenie domeny do takiego pytania? Jak możemy ustalić przyczynę problemu bez badania faktycznego certyfikatu? Niemniej jednak zasugerowałem edycję z domeną zwykłym tekstem i link do testu Qualys SSL Server Test.
Paul
1
@Paul To dlatego, że tylko go ostrzegałem i nie zrobiłem nic innego. A teraz nawet głosuję za jego pytaniem, ponieważ uważam, że na to zasługuje. Zwykle w trakcie recenzji, jeśli znajdziemy zewnętrzny link, należy sprawdzić, czy nie jest to jakiś „ukryty klejnot” lub podobny. Znacznie lepiej jest, jeśli adres URL pochodzi ze znanej witryny (imgur, jsfiddle itp.).
peterh - Przywróć Monikę
Wyobrażam sobie, że wszystkie przeglądarki na rynku będą zachodzić nad SHA-1. Google właśnie przejął inicjatywę.
taco

Odpowiedzi:

15

Teraz nie widzisz „zielonego paska adresu”, którego można oczekiwać od certyfikatu EV, ale następujące:

wprowadź opis zdjęcia tutaj

Powodem tego jest następujące ogłoszenie na blogu Google Online Security :

Kryptograficzny algorytm haszujący SHA-1 jest znacznie słabszy niż został zaprojektowany przynajmniej od 2005 r. - 9 lat temu. Ataki zderzeniowe przeciwko SHA-1 są dla nas zbyt przystępne, aby uznać je za bezpieczne dla publicznej infrastruktury PKI. Możemy się tylko spodziewać, że ataki będą tańsze.

Właśnie dlatego Chrome rozpocznie proces wygaśnięcia SHA-1 (stosowanego w podpisach certyfikatów dla HTTPS) w Chrome 39 w listopadzie. ... Witryny z certyfikatami podmiotów końcowych, które wygasają między 1 czerwca 2016 r. A 31 grudnia 2016 r. (Włącznie) i które zawierają podpis oparty na SHA-1 jako część łańcucha certyfikatów, będą traktowane jako „bezpieczne, ale z niewielkimi błędy ”.

„Bezpieczny, ale z drobnymi błędami” jest oznaczony znakiem ostrzegawczym w kłódce, a nieaktualne ustawienia zabezpieczeń w rozszerzonym komunikacie polegają na tym, że certyfikat opiera się na algorytmie mieszającym SHA-1.

Co musisz zrobić, to:

Wygeneruj nowy klucz prywatny za pomocą skrótu SHA-256 i nowego żądania podpisania certyfikatu (CSR) i poproś dostawcę SSL o ponowne wystawienie nowego certyfikatu. W przypadku certyfikatów EV ponowne wydanie zwykle wymaga mniej więcej takich samych obręczy, przez które trzeba było przejść, aby uzyskać certyfikat na początku, ale należy uzyskać nowy certyfikat ważny do tej samej daty wygaśnięcia aktualnego certyfikatu bez dodatkowej opłaty.

W openssl użyłbyś czegoś takiego jak następujący wiersz poleceń:

openssl req -nodes -sha256 -newkey rsa:2048 -keyout www.scirra.com.sha256.key -out www.scirra.com.sha256.csr
HBruijn
źródło
1
Zauważyłem w wynikach testu serwera SSL Labs, że sygnatura serwera HTTP to Microsoft-IIS / 7.5. Nie korzystałem z żadnego serwera firmy Microsoft, więc nie byłem pewien, czy twoje opensslpolecenie jest dostępne dla tego użytkownika.
Paul
1
Nie musisz generować nowego klucza. Możesz po prostu uzyskać nowy certyfikat dla bieżącego klucza, jak pokazano w odpowiedzi Taco. Nie ma to jednak znaczenia, z wyjątkiem wypalenia kilku cykli procesora generujących liczby pierwsze.
Matt Nordhoff
10

Wynika to z planu Google dotyczącego zachodu słońca dla SHA-1 .

  • Nie ma bezpośredniego zagrożenia bezpieczeństwa.
  • SHA-2 jest obecnie zalecanym algorytmem mieszającym dla SSL. Nie zgłoszono żadnych naruszeń certyfikatów korzystających z SHA-1.
  • Wyświetlanie pogorszonych wskaźników interfejsu użytkownika w przeglądarce Chrome 39 i nowszych jest częścią planu amortyzacji SHA-1 firmy Google i będzie mieć zastosowanie do wszystkich urzędów certyfikacji.
  • Zdegradowany interfejs użytkownika będzie widoczny tylko dla użytkowników przeglądarki Chrome 39 i nowszych, a nie wcześniejszych wersji. Skontaktuj się ze sprzedawcą SSL po tym, jak sysadmin zlokalizuje Twój obecny klucz prywatny (na twoim serwerze internetowym), a on wykona ponowne wydanie certyfikatu za pomocą SHA-2 za darmo. Będziesz potrzebował nowego CSR.

Poniższe spowoduje utworzenie nowego CSR w OSX / Linux, jeśli OpenSSL jest zainstalowany (sprawdź istniejące pola Certyfikatu SSL, ponieważ domena (inaczej „Common Name”) musi pozostać niezmieniona:

Linux / OSX:

openssl req -new -sha256 -key myexistingprivate.key -out newcsr.csr

W przypadku systemu Windows zobacz ten artykuł TechNet .

W tym momencie może być konieczne skontaktowanie się ze sprzedawcą w celu uzyskania pomocy, jeśli nie widzisz opcji ponownego uruchomienia za pośrednictwem portalu SSL. Strona internetowa Comodo wygląda szczegółowo, jak to zrobić, jeśli nie jest to wystarczająca informacja dla Ciebie.

Po zainstalowaniu certyfikatu SHA-2 pozbędziesz się „problemu” widocznego w Chrome.

taco
źródło
5

Potrzebujesz certyfikatu SHA2, aby zniknął. Więcej informacji o stopniowym zachodzie słońca SHA-1

rumburak
źródło
2
SSL Labs poprawnie zgłasza, że moja witryna wciąż ma certyfikat SHA1, ale nie ma takich samych ostrzeżeń w Chrome. Jednak SSL Labs informuje, że scirra.com ma wiele innych problemów, w tym SSL 3, RC4 i brak FS. Podejrzewam, że nie chodzi tylko o podpisanie certyfikatu za pomocą SHA1, ale także o to, że data jego wygaśnięcia przypada po zachodzie słońca SHA1 (2016).
Paul
1
@Paul, który jest zawarty w linku. Sites with end-entity certificates that expire on or after 1 January 2017, and which include a SHA-1-based signature as part of the certificate chain, will be treated as “neutral, lacking security”.
faker
2
Witryny @faker SE marszczą brwi w odpowiedziach lub pytaniach opartych na informacjach zawartych w linkach. Należy podać odpowiednie informacje. W rzeczywistości posunąłbym się do stwierdzenia, że ​​odpowiedź ta jest technicznie niepoprawna, ponieważ użytkownik może rozwiązać problem za pomocą certyfikatu SHA1, który wygasa przed 2016 r.
Paul
1
@Paul dość uczciwie, ale powiedziałeś, że podejrzewasz, że to jest powód. Ja tylko wyjaśniałem ...
oszustem
3
Zobacz, jak robią rzeczy w Stack Overflow . To znacznie lepsza odpowiedź niż twoja.
Paul