คะแนน A + ยังไม่ปลอดภัยตามความเห็นของ Google Chrome


10

ฉันกำลังเตรียมเซิร์ฟเวอร์ของฉันในDigitalOceanและแม้ว่าฉันจะได้รับคะแนน A + จาก ssllabs

https://www.ssllabs.com/ssltest/analyze.html?d=zandu.biz

เมื่อฉันเชื่อมต่อกับเว็บไซต์ของฉันhttps://www.zandu.bizหรือhttps://zandu.bizฉันจะได้รับการแจ้งเตือนที่ไม่ปลอดภัยภายใน Chrome

ฉันจะแก้ปัญหานี้ได้อย่างไร

คำตอบ:


48

เซิร์ฟเวอร์นี้ไม่สามารถพิสูจน์ได้ว่าเป็น www.zandu.biz; ใบรับรองความปลอดภัยมาจาก zandu.biz สิ่งนี้อาจเกิดจากการกำหนดค่าผิดพลาดหรือผู้โจมตีขัดขวางการเชื่อมต่อของคุณ

ชื่อในใบรับรองเว็บไซต์ของคุณคือ zandu.biz ซึ่งไม่ถูกต้องสำหรับชื่ออื่น (www.zandu.biz) ยิ่งกว่านั้นคุณมีการเปลี่ยนเส้นทางจาก zandu.biz ไปที่ www.zandu.biz ดังนั้นหากคุณใช้ชื่อใบรับรองนั้นถูกต้องสำหรับการเปลี่ยนเส้นทางไปยังชื่อที่ไม่ใช่

สิ่งที่คุณต้องการคือการได้รับใบรับรองที่มีชื่อทั้ง


4
ใบรับรองตัวแทนอาจสะดวกกว่าหรือจำเป็นถ้าชื่อที่คุณตั้งใจจะใช้ไม่เป็นที่รู้จักล่วงหน้า แต่พวกเขายังเพิ่มการเปิดเผยของคุณหากคีย์ส่วนตัวที่เกี่ยวข้องถูกบุกรุกเพราะผู้โจมตีสามารถปลอมชื่อใด ๆ ในโดเมนของคุณแทนที่จะเป็นเพียงแค่เซิร์ฟเวอร์ที่ใช้งานจริง
zrm

4
Let's Encrypt คือ CA เมื่อพวกเขาเริ่มต้นครั้งแรกพวกเขาได้ลงนามไขว้กันโดย IdenTrustแต่มันจบลงในปี 2020 เพราะตอนนี้พวกเขาเชื่อถือใบรับรองหลัก ไม่มีสิ่งใดที่เกี่ยวข้องกับปัญหาของคุณซึ่งน่าจะเป็นเช่นเดียวกัน
zrm

8
s / Common Name / Subject Alternative Name / - Chrome ไม่ได้ใช้ชื่อสามัญเลยเป็นเวลา 2 ปี เบราว์เซอร์อื่น ๆ ทำเช่นนั้นหาก SAN ไม่อยู่ซึ่งไม่เป็นความจริงสำหรับ certs ใด ๆ (EE) จาก CA สาธารณะตั้งแต่ปี 2010 ถึงแม้ว่าคุณสามารถจัดเรียงสำหรับ certs ทดสอบที่คุณสร้างขึ้นเอง ซึ่งเป็นเหตุผลว่าทำไมคุณสามารถได้รับหนึ่งใบรับรองสำหรับหลายโดเมน - ใบรับรองโบราณใช้เพียงชื่อสามัญไม่สามารถทำเช่นนั้นได้
dave_thompson_085

12
@djdomi ใบรับรองสัญลักษณ์แทนสำหรับยังไม่ครอบคลุมโดเมนเปลือย*.example.com example.comคุณยังต้องการสองค่าใน SAN
Michael - sqlbot

4
เหตุผลที่ใหญ่กว่าเพื่อหลีกเลี่ยงใบรับรองไวด์การ์ดคือ OP กำลังใช้ LetsEncrypt ในขณะที่ LetsEncrypt รองรับใบรับรองไวด์การ์ดสิ่งนี้ต้องใช้ความท้าทาย DNS ความพึงพอใจกับความท้าทายของ DNS นั้นยากที่จะทำให้เป็นอัตโนมัติ นอกจากนี้การตั้งค่า DNS อัตโนมัติอาจหมายถึงว่าเซิร์ฟเวอร์ที่ถูกบุกรุกจะอนุญาตให้ผู้โจมตีเข้าถึง DNS ของคุณได้ ดังนั้นก็เพียงพอที่จะใช้ใบรับรอง UCC หรือใบรับรองสองใบ (วิธีใดที่ไม่สำคัญมาก
Brian
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.