Chrome 中的 SSL 证书无效

Chrome 中的 SSL 证书无效

对于网站 scirra.com (点击查看 SSL Labs 服务器测试结果)Google Chrome 报告以下图标:

在此处输入图片描述

这是 EV SSL,似乎在 Firefox 和 Internet Explorer 中运行良好,但在 Chrome 中却不行。这是什么原因造成的?

答案1

您现在看到的不是使用 EV 证书时所期望的“绿色地址栏”,而是以下内容:

在此处输入图片描述

原因是Google 在线安全博客

SHA-1 加密哈希算法自 2005 年(9 年前)以来就已明显弱于其设计初衷。针对 SHA-1 的碰撞攻击成本太高,因此我们认为它对于公共 Web PKI 而言并不安全。我们只能期待攻击成本会越来越低。

这就是为什么 Chrome 将于 11 月在 Chrome 39 中开始淘汰 SHA-1(用于 HTTPS 的证书签名)。... 终端实体证书在 2016 年 6 月 1 日至 2016 年 12 月 31 日(含)之间到期,且证书链中包含基于 SHA-1 的签名的网站将被视为“安全,但存在轻微错误”。

挂锁中的警告符号和扩展消息中的过时的安全设置表示“安全但有轻微错误”,因为该证书依赖于 SHA-1 哈希算法。

您需要执行以下操作:

使用 SHA-256 哈希和新的证书签名请求 (CSR) 生成新的私钥,并让您的 SSL 提供商重新为您颁发新证书。使用 EV 证书,重新颁发通常需要或多或少与您最初获得证书时所经历的相同步骤,但您应该获得一个有效期与当前证书相同的新证书,且无需支付或只需支付少量额外费用。

在 openssl 中,您可以使用类似以下命令行:

openssl req -nodes -sha256 -newkey rsa:2048 -keyout www.scirra.com.sha256.key -out www.scirra.com.sha256.csr

答案2

这是因为Google 的 SHA-1 日落计划

  • 目前尚无任何安全问题。
  • SHA-2 是目前推荐的 SSL 哈希算法。目前尚未报告使用 SHA-1 的证书被泄露的情况。
  • Chrome 39 及更高版本上显示降级的 UI 指示器是 Google SHA-1 弃用计划的一部分,并将适用于所有证书颁发机构 (CA)。
  • 只有 Chrome 39 及更高版本的用户才能看到降级的用户界面,而早期版本则看不到。让系统管理员找到您的 SSL 供应商后,请联系您的 SSL 供应商现存的私钥(在您的 Web 服务器上),他们将免费使用 SHA-2 重新颁发证书。您将需要一份新的 CSR。

如果安装了 OpenSSL,以下内容将在 OSX/Linux 上创建一个新的 CSR(请参阅您现有的 SSL 证书字段,因为域(又名“通用名称”)需要保持不变):

Linux/OSX:

openssl req -new -sha256 -key myexistingprivate.key -out newcsr.csr

对于 Windows,请参阅此TechNet 文章

此时,如果您没有通过 SSL 门户看到重新签发选项,则可能需要联系供应商寻求帮助。如果这些信息对您来说还不够,Comodo 网站会详细介绍如何执行此操作。

一旦安装了 SHA-2 证书,这将解决您在 Chrome 中看到的“问题”。

答案3

您需要 SHA2 证书才能使其消失。 有关逐步淘汰 SHA-1 的更多信息

相关内容