该网站使用过时的安全设置,可能会导致未来版本的 Chrome 无法安全访问该网站

该网站使用过时的安全设置,可能会导致未来版本的 Chrome 无法安全访问该网站

我们正在使用 AWS ELB 进行 SSL 终止,并且遇到 Chrome 显示红色“https”并带有删除线的问题。

它说“该网站正在使用过时的安全设置,这可能会阻止未来版本的 Chrome 安全访问它。”但它并没有明确指出它不喜欢哪种设置。

我如何才能找出 Chrome 存在的问题,以便我们的用户能够获得绿色复选标记?

产生错误的示例 URL 如下:https://aws.hatchlings.com/错误/

Chrome 错误

我通过 SSL Labs 运行了我们的网站,它给了我们“A”级评价:

SSL 实验室报告

答案1

您的证书使用的是过时的 SHA-1 算法,由于存在安全风险,Google Chrome 现已发出警告。

您需要生成新的 CSR 并从 SSL 供应商处获取替换证书。

https://github.com/konklone/shaaaaaaaaaaaaaa/issues/24#issuecomment-54021941

对于那些对来自其经销商的 RapidSSL 或任何其他 GeoTrust 品牌证书存在问题的人:

  • 登录到GeoTrust 产品使用您的 FQDN 和用于申请证书的电子邮件
  • 按照通过电子邮件发送的登录链接
  • 点击重新发布
  • 提供新的 CSR 并从下拉菜单中选择 SHA-256

您还可以在此门户撤销旧证书。

虽然你目前在 SSL Labs 上获得了 A,但详细报告告诉你这是橙色部分的问题:

在此处输入图片描述

答案2

对于即使使用 SHA2 且 SSL LAB 评分很高(+无警告)仍遇到此问题的人,请检查您的 libnss 版本。我目前使用的是 Ubuntu 13.10,libnss 是 3.15.x 版本。

=> 似乎在 3.17 之前的版本中,libnss 会检查最弱的安全链,而不是最强的安全链。这意味着,如果链中有 SHA1 证书,Chrome 无论如何都会显示警告。

解决方案:将 libnss 更新到较新的版本。

答案3

我的网站也遇到了类似的情况,我最初以为是证书的问题,但证书的算法是 SHA-2。最后我发现问题不是出在 Chrome 上,而是我的avast 邮件防护阻止该证书。

相关内容