ใบรับรอง SSL ไม่ถูกต้องใน Chrome


9

สำหรับเว็บไซต์ scirra.com ( คลิกเพื่อผลการทดสอบเซิร์ฟเวอร์ SSL Labs ) Google Chrome รายงานไอคอนต่อไปนี้:

ป้อนคำอธิบายภาพที่นี่

มันเป็น EV SSL และดูเหมือนว่าจะทำงานได้ดีใน Firefox และ Internet Explorer แต่ไม่ใช่ Chrome อะไรคือสาเหตุของสิ่งนี้?


จริงๆแล้วเว็บไซต์อ้างอิงนั้นไม่ใช่วิธีปฏิบัติที่ดีบางทีคุณอาจต้องจ่ายค่าโฆษณาให้กับ บริษัท SE ...
เตอร์ - Reinstate Monica

6
@PeterHorvath จะไม่ถูกต้องหรือไม่ที่จะรวมโดเมนสำหรับคำถามเช่นนี้ เราจะทราบสาเหตุของปัญหาได้อย่างไรโดยไม่ต้องตรวจสอบใบรับรองจริง อย่างไรก็ตามฉันแนะนำการแก้ไขโดยใช้โดเมนเป็นข้อความธรรมดาและลิงก์ไปยังการทดสอบเซิร์ฟเวอร์ SSL ของ Qualys
พอล

1
@ พอลนี้เป็นเพราะฉันแค่เตือนเขาและไม่ได้ทำอะไรอื่น และตอนนี้ฉันก็ถอนรากถอนโคนคำถามของเขาเพราะฉันคิดว่าสมควร โดยปกติในระหว่างการตรวจสอบหากเราพบลิงค์ภายนอกจะต้องมีการตรวจสอบหากไม่ใช่ "อัญมณีที่ซ่อนอยู่" หรือคล้าย มันจะดีกว่าถ้า url มาจากไซต์ที่รู้จัก (imgur, jsfiddle, ฯลฯ )
peterh - Reinstate Monica

1
โปรดทราบว่าMozilla เป็นไปได้ยุติการ SHA-1 ใบรับรองเช่นกัน
CVn

ฉันจะจินตนาการถึงเบราว์เซอร์ทั้งหมดในตลาดที่กำลังจะตกดิน SHA-1 Google เพิ่งเป็นผู้นำ
taco

คำตอบ:


15

สิ่งที่คุณเห็นคือตอนนี้ไม่ใช่ "แถบที่อยู่สีเขียว" ที่คุณคาดหวังกับใบรับรอง EV แต่ต่อไปนี้:

ป้อนคำอธิบายรูปภาพที่นี่

เหตุผลที่เป็นประกาศต่อไปนี้ในบล็อก Google Online Security :

อัลกอริธึมการเข้ารหัสลับ SHA-1 ได้รับการยอมรับว่ามีความอ่อนแอมากกว่าที่ได้รับการออกแบบมาอย่างน้อยตั้งแต่ 2005 - 9 ปีที่แล้ว การโจมตีการปะทะกับ SHA-1 นั้นแพงเกินไปสำหรับเราที่จะพิจารณาว่าปลอดภัยสำหรับ PKI เว็บสาธารณะ เราคาดหวังได้ว่าการโจมตีนั้นจะถูกลง

นั่นเป็นสาเหตุที่ Chrome จะเริ่มกระบวนการพระอาทิตย์ตก SHA-1 (ที่ใช้ในลายเซ็นใบรับรองสำหรับ HTTPS) กับ Chrome 39 ในเดือนพฤศจิกายน ... ไซต์ที่มีใบรับรองเอนทิตีที่หมดอายุระหว่างวันที่ 1 มิถุนายน 2016 ถึง 31 ธันวาคม 2559 (รวม) และซึ่งมีลายเซ็นต์ที่ใช้ SHA-1 ซึ่งเป็นส่วนหนึ่งของห่วงโซ่ใบรับรองจะถือว่าเป็น "ปลอดภัย แต่มีผู้เยาว์เล็กน้อย ข้อผิดพลาด”

"ความปลอดภัย แต่มีข้อผิดพลาดเล็กน้อย" ถูกระบุโดยเครื่องหมายเตือนในกุญแจล็อคและการตั้งค่าความปลอดภัยที่ล้าสมัยในข้อความเพิ่มเติมคือข้อเท็จจริงที่ว่าใบรับรองขึ้นอยู่กับอัลกอริทึมแฮช SHA-1

สิ่งที่คุณต้องทำมีดังต่อไปนี้:

สร้างคีย์ส่วนตัวใหม่พร้อมแฮช SHA-256 และคำขอลงนามใบรับรองใหม่ (CSR) และรับผู้ให้บริการ SSL ของคุณเพื่อออกใบรับรองใหม่ให้คุณ ด้วยใบรับรอง EV โดยทั่วไปปัญหาใหม่จะต้องมีห่วงเดียวกันมากขึ้นหรือน้อยลงซึ่งคุณต้องข้ามเพื่อรับใบรับรองในตอนแรก แต่คุณควรได้รับใบรับรองใหม่ที่ถูกต้องจนกว่าจะถึงวันหมดอายุของใบรับรองปัจจุบันที่ไม่มีค่าใช้จ่ายเพิ่มเติมเล็กน้อย

ใน openssl คุณจะต้องใช้คำสั่งดังต่อไปนี้:

openssl req -nodes -sha256 -newkey rsa:2048 -keyout www.scirra.com.sha256.key -out www.scirra.com.sha256.csr

1
ฉันสังเกตเห็นในผลการทดสอบเซิร์ฟเวอร์ SSL Labsว่าลายเซ็นเซิร์ฟเวอร์ HTTP คือ Microsoft-IIS / 7.5 ฉันไม่ได้ใช้ผลิตภัณฑ์เซิร์ฟเวอร์ของ Microsoft ใด ๆ ดังนั้นจึงไม่แน่ใจว่าopensslคำสั่งของคุณเป็นตัวเลือกสำหรับผู้ใช้รายนี้หรือไม่
พอล

1
คุณไม่จำเป็นต้องสร้างรหัสใหม่ คุณสามารถรับใบรับรองใหม่สำหรับรหัสปัจจุบันของคุณดังแสดงในคำตอบของ taco ไม่ว่าจะด้วยวิธีใดก็ตามยกเว้นว่าจะเผาซีพียูสักสองสามรอบเพื่อสร้างหมายเลขเฉพาะ
Matt Nordhoff

10

เพราะนี่คือแผนพระอาทิตย์ตกของ Google สำหรับ SHA-1

  • ไม่มีข้อกังวลด้านความปลอดภัยทันที
  • SHA-2 เป็นอัลกอริทึมการแฮชที่แนะนำในปัจจุบันสำหรับ SSL ไม่มีรายงานการละเมิดที่ใช้ใบรับรองโดยใช้ SHA-1
  • การแสดงตัวบ่งชี้ UI ที่เสื่อมโทรมบน Chrome 39 และใหม่กว่านั้นเป็นส่วนหนึ่งของแผนการคัดค้าน SHA-1 ของ Google และจะนำไปใช้กับผู้ออกใบรับรอง (CA) ทั้งหมด
  • UI ที่เสื่อมโทรมจะปรากฏแก่ผู้ใช้ Chrome 39 และใหม่กว่าเท่านั้นไม่ใช่เวอร์ชันก่อนหน้า ติดต่อผู้ขาย SSL ของคุณหลังจากที่ดูแลระบบของคุณค้นหาคีย์ส่วนตัวที่มีอยู่ (บนเว็บเซิร์ฟเวอร์ของคุณ) และพวกเขาจะดำเนินการออกใบรับรองใหม่ด้วย SHA-2 ฟรี คุณจะต้องมี CSR ใหม่

ต่อไปนี้จะสร้าง CSR ใหม่บน OSX / Linux หากมีการติดตั้ง OpenSSL (โปรดอ้างถึงฟิลด์ใบรับรอง SSL ที่มีอยู่ของคุณเป็นโดเมน (aka "ชื่อสามัญ")) ต้องคงเหมือนเดิม:

ลินุกซ์ / OSX:

openssl req -new -sha256 -key myexistingprivate.key -out newcsr.csr

สำหรับ Windows, เห็นนี้บทความ TechNet

ณ จุดนี้คุณอาจต้องติดต่อผู้จำหน่ายของคุณเพื่อขอความช่วยเหลือหากคุณไม่เห็นตัวเลือกการออกใหม่ผ่านทางพอร์ทัล SSL ของพวกเขา เว็บไซต์ของ Comodo ดูรายละเอียดวิธีการทำเช่นนี้หากข้อมูลไม่เพียงพอสำหรับคุณ

เมื่อติดตั้งใบรับรอง SHA-2 แล้วสิ่งนี้จะกำจัด "ปัญหา" ที่คุณเห็นใน Chrome


5

คุณต้องใช้ใบรับรอง SHA2 เพื่อทำให้หายไป ข้อมูลเพิ่มเติมเกี่ยวกับพระอาทิตย์ตกดินค่อยๆ SHA-1


2
SSL Labs รายงานเว็บไซต์ของฉันอย่างถูกต้องว่ายังคงมีใบรับรอง SHA1 แต่ไม่มีคำเตือนเหมือนกันใน Chrome อย่างไรก็ตาม SSL Labs รายงานว่าscirra.comมีปัญหาอื่น ๆ อีกมากมายรวมถึง SSL 3, RC4 และไม่มี FS ฉันสงสัยว่ามันไม่ได้เป็นเพียงแค่ใบรับรองที่ลงนามโดยใช้ SHA1 แต่ยังรวมถึงวันหมดอายุของมันคือหลังจากพระอาทิตย์ตกดิน SHA1 (2016)
พอล

1
@Paul ที่รวมอยู่ในลิงค์ Sites with end-entity certificates that expire on or after 1 January 2017, and which include a SHA-1-based signature as part of the certificate chain, will be treated as “neutral, lacking security”.
ขนม

2
@faker SE เว็บไซต์ขมวดคิ้วคำตอบหรือคำถามที่อาศัยข้อมูลในลิงค์ ข้อมูลที่เกี่ยวข้องควรรวมอยู่ด้วย ในความเป็นจริงผมจะไปให้ไกลที่สุดเท่าที่จะกล่าวว่าคำตอบนี้ไม่ถูกต้องในทางเทคนิคเนื่องจากผู้ใช้สามารถแก้ปัญหาโดยการใช้ใบรับรอง SHA1 ที่หมดอายุก่อนปี 2016
พอล

1
@ พอลยุติธรรม แต่คุณบอกว่าคุณสงสัยว่านี่คือเหตุผล ฉันเป็นเพียงการชี้แจง ...
กุขึ้น

3
ลองดูที่วิธีที่พวกเขาทำสิ่งที่แตกมากเกิน นั่นเป็นคำตอบที่ดีกว่าของคุณมาก
พอล
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.