我们正在使用 AWS ELB 进行 SSL 终止,并且遇到 Chrome 显示红色“https”并带有删除线的问题。
它说“该网站正在使用过时的安全设置,这可能会阻止未来版本的 Chrome 安全访问它。”但它并没有明确指出它不喜欢哪种设置。
我如何才能找出 Chrome 存在的问题,以便我们的用户能够获得绿色复选标记?
产生错误的示例 URL 如下:https://aws.hatchlings.com/错误/
我通过 SSL Labs 运行了我们的网站,它给了我们“A”级评价:
答案1
您的证书使用的是过时的 SHA-1 算法,由于存在安全风险,Google Chrome 现已发出警告。
- http://googleonlinesecurity.blogspot.com/2014/09/gradually-sunsetting-sha-1.html
- https://community.qualys.com/blogs/securitylabs/2014/09/09/sha1-deprecation-what-you-need-to-know
- https://shaaaaaaaaaaaaaa.com/check/aws.hatchlings.com
您需要生成新的 CSR 并从 SSL 供应商处获取替换证书。
https://github.com/konklone/shaaaaaaaaaaaaaa/issues/24#issuecomment-54021941
对于那些对来自其经销商的 RapidSSL 或任何其他 GeoTrust 品牌证书存在问题的人:
- 登录到GeoTrust 产品使用您的 FQDN 和用于申请证书的电子邮件
- 按照通过电子邮件发送的登录链接
- 点击重新发布
- 提供新的 CSR 并从下拉菜单中选择 SHA-256
您还可以在此门户撤销旧证书。
虽然你目前在 SSL Labs 上获得了 A,但详细报告告诉你这是橙色部分的问题:
答案2
对于即使使用 SHA2 且 SSL LAB 评分很高(+无警告)仍遇到此问题的人,请检查您的 libnss 版本。我目前使用的是 Ubuntu 13.10,libnss 是 3.15.x 版本。
=> 似乎在 3.17 之前的版本中,libnss 会检查最弱的安全链,而不是最强的安全链。这意味着,如果链中有 SHA1 证书,Chrome 无论如何都会显示警告。
解决方案:将 libnss 更新到较新的版本。
答案3
我的网站也遇到了类似的情况,我最初以为是证书的问题,但证书的算法是 SHA-2。最后我发现问题不是出在 Chrome 上,而是我的avast 邮件防护阻止该证书。