对于网站 scirra.com (点击查看 SSL Labs 服务器测试结果)Google Chrome 报告以下图标:
这是 EV SSL,似乎在 Firefox 和 Internet Explorer 中运行良好,但在 Chrome 中却不行。这是什么原因造成的?
答案1
您现在看到的不是使用 EV 证书时所期望的“绿色地址栏”,而是以下内容:
原因是Google 在线安全博客:
SHA-1 加密哈希算法自 2005 年(9 年前)以来就已明显弱于其设计初衷。针对 SHA-1 的碰撞攻击成本太高,因此我们认为它对于公共 Web PKI 而言并不安全。我们只能期待攻击成本会越来越低。
这就是为什么 Chrome 将于 11 月在 Chrome 39 中开始淘汰 SHA-1(用于 HTTPS 的证书签名)。... 终端实体证书在 2016 年 6 月 1 日至 2016 年 12 月 31 日(含)之间到期,且证书链中包含基于 SHA-1 的签名的网站将被视为“安全,但存在轻微错误”。
挂锁中的警告符号和扩展消息中的过时的安全设置表示“安全但有轻微错误”,因为该证书依赖于 SHA-1 哈希算法。
您需要执行以下操作:
使用 SHA-256 哈希和新的证书签名请求 (CSR) 生成新的私钥,并让您的 SSL 提供商重新为您颁发新证书。使用 EV 证书,重新颁发通常需要或多或少与您最初获得证书时所经历的相同步骤,但您应该获得一个有效期与当前证书相同的新证书,且无需支付或只需支付少量额外费用。
在 openssl 中,您可以使用类似以下命令行:
openssl req -nodes -sha256 -newkey rsa:2048 -keyout www.scirra.com.sha256.key -out www.scirra.com.sha256.csr
答案2
这是因为Google 的 SHA-1 日落计划。
- 目前尚无任何安全问题。
- SHA-2 是目前推荐的 SSL 哈希算法。目前尚未报告使用 SHA-1 的证书被泄露的情况。
- Chrome 39 及更高版本上显示降级的 UI 指示器是 Google SHA-1 弃用计划的一部分,并将适用于所有证书颁发机构 (CA)。
- 只有 Chrome 39 及更高版本的用户才能看到降级的用户界面,而早期版本则看不到。让系统管理员找到您的 SSL 供应商后,请联系您的 SSL 供应商现存的私钥(在您的 Web 服务器上),他们将免费使用 SHA-2 重新颁发证书。您将需要一份新的 CSR。
如果安装了 OpenSSL,以下内容将在 OSX/Linux 上创建一个新的 CSR(请参阅您现有的 SSL 证书字段,因为域(又名“通用名称”)需要保持不变):
Linux/OSX:
openssl req -new -sha256 -key myexistingprivate.key -out newcsr.csr
对于 Windows,请参阅此TechNet 文章。
此时,如果您没有通过 SSL 门户看到重新签发选项,则可能需要联系供应商寻求帮助。如果这些信息对您来说还不够,Comodo 网站会详细介绍如何执行此操作。
一旦安装了 SHA-2 证书,这将解决您在 Chrome 中看到的“问题”。
答案3
您需要 SHA2 证书才能使其消失。 有关逐步淘汰 SHA-1 的更多信息