สำหรับเว็บไซต์ scirra.com ( คลิกเพื่อผลการทดสอบเซิร์ฟเวอร์ SSL Labs ) Google Chrome รายงานไอคอนต่อไปนี้:
มันเป็น EV SSL และดูเหมือนว่าจะทำงานได้ดีใน Firefox และ Internet Explorer แต่ไม่ใช่ Chrome อะไรคือสาเหตุของสิ่งนี้?
สำหรับเว็บไซต์ scirra.com ( คลิกเพื่อผลการทดสอบเซิร์ฟเวอร์ SSL Labs ) Google Chrome รายงานไอคอนต่อไปนี้:
มันเป็น EV SSL และดูเหมือนว่าจะทำงานได้ดีใน Firefox และ Internet Explorer แต่ไม่ใช่ Chrome อะไรคือสาเหตุของสิ่งนี้?
คำตอบ:
สิ่งที่คุณเห็นคือตอนนี้ไม่ใช่ "แถบที่อยู่สีเขียว" ที่คุณคาดหวังกับใบรับรอง EV แต่ต่อไปนี้:
เหตุผลที่เป็นประกาศต่อไปนี้ในบล็อก Google Online Security :
อัลกอริธึมการเข้ารหัสลับ SHA-1 ได้รับการยอมรับว่ามีความอ่อนแอมากกว่าที่ได้รับการออกแบบมาอย่างน้อยตั้งแต่ 2005 - 9 ปีที่แล้ว การโจมตีการปะทะกับ SHA-1 นั้นแพงเกินไปสำหรับเราที่จะพิจารณาว่าปลอดภัยสำหรับ PKI เว็บสาธารณะ เราคาดหวังได้ว่าการโจมตีนั้นจะถูกลง
นั่นเป็นสาเหตุที่ Chrome จะเริ่มกระบวนการพระอาทิตย์ตก SHA-1 (ที่ใช้ในลายเซ็นใบรับรองสำหรับ HTTPS) กับ Chrome 39 ในเดือนพฤศจิกายน ... ไซต์ที่มีใบรับรองเอนทิตีที่หมดอายุระหว่างวันที่ 1 มิถุนายน 2016 ถึง 31 ธันวาคม 2559 (รวม) และซึ่งมีลายเซ็นต์ที่ใช้ SHA-1 ซึ่งเป็นส่วนหนึ่งของห่วงโซ่ใบรับรองจะถือว่าเป็น "ปลอดภัย แต่มีผู้เยาว์เล็กน้อย ข้อผิดพลาด”
"ความปลอดภัย แต่มีข้อผิดพลาดเล็กน้อย" ถูกระบุโดยเครื่องหมายเตือนในกุญแจล็อคและการตั้งค่าความปลอดภัยที่ล้าสมัยในข้อความเพิ่มเติมคือข้อเท็จจริงที่ว่าใบรับรองขึ้นอยู่กับอัลกอริทึมแฮช SHA-1
สิ่งที่คุณต้องทำมีดังต่อไปนี้:
สร้างคีย์ส่วนตัวใหม่พร้อมแฮช SHA-256 และคำขอลงนามใบรับรองใหม่ (CSR) และรับผู้ให้บริการ SSL ของคุณเพื่อออกใบรับรองใหม่ให้คุณ ด้วยใบรับรอง EV โดยทั่วไปปัญหาใหม่จะต้องมีห่วงเดียวกันมากขึ้นหรือน้อยลงซึ่งคุณต้องข้ามเพื่อรับใบรับรองในตอนแรก แต่คุณควรได้รับใบรับรองใหม่ที่ถูกต้องจนกว่าจะถึงวันหมดอายุของใบรับรองปัจจุบันที่ไม่มีค่าใช้จ่ายเพิ่มเติมเล็กน้อย
ใน openssl คุณจะต้องใช้คำสั่งดังต่อไปนี้:
openssl req -nodes -sha256 -newkey rsa:2048 -keyout www.scirra.com.sha256.key -out www.scirra.com.sha256.csr
openssl
คำสั่งของคุณเป็นตัวเลือกสำหรับผู้ใช้รายนี้หรือไม่
เพราะนี่คือแผนพระอาทิตย์ตกของ Google สำหรับ SHA-1
ต่อไปนี้จะสร้าง CSR ใหม่บน OSX / Linux หากมีการติดตั้ง OpenSSL (โปรดอ้างถึงฟิลด์ใบรับรอง SSL ที่มีอยู่ของคุณเป็นโดเมน (aka "ชื่อสามัญ")) ต้องคงเหมือนเดิม:
ลินุกซ์ / OSX:
openssl req -new -sha256 -key myexistingprivate.key -out newcsr.csr
สำหรับ Windows, เห็นนี้บทความ TechNet
ณ จุดนี้คุณอาจต้องติดต่อผู้จำหน่ายของคุณเพื่อขอความช่วยเหลือหากคุณไม่เห็นตัวเลือกการออกใหม่ผ่านทางพอร์ทัล SSL ของพวกเขา เว็บไซต์ของ Comodo ดูรายละเอียดวิธีการทำเช่นนี้หากข้อมูลไม่เพียงพอสำหรับคุณ
เมื่อติดตั้งใบรับรอง SHA-2 แล้วสิ่งนี้จะกำจัด "ปัญหา" ที่คุณเห็นใน Chrome
คุณต้องใช้ใบรับรอง SHA2 เพื่อทำให้หายไป ข้อมูลเพิ่มเติมเกี่ยวกับพระอาทิตย์ตกดินค่อยๆ SHA-1
Sites with end-entity certificates that expire on or after 1 January 2017, and which include a SHA-1-based signature as part of the certificate chain, will be treated as “neutral, lacking security”.