该网站正在使用过时的安全设置,可能会阻止未来版本的Chrome能够安全地访问它
我们使用AWS ELB来执行SSL终止,并且Chrome浏览器显示“https”时会出现问题,并显示删除线。
它说:“该网站正在使用过时的安全设置,可能会阻止未来版本的Chrome能够安全地访问它。” 但它并没有明确地说出它不喜欢的设置。
我怎样才能找出什么铬有问题,使我们的用户会得到一个绿色的复选标记?
产生错误的示例URL如下: https : //aws.hatchlings.com/error/
- 如何从数据中心内部和外部解决EC2实例?
- 你应该使用EC2实例的iptables吗?
- 监控EC2实例的好方法
- 在Amazon Linux上启用mod_rewrite
- Amazon EC2 VPC:NAT实例下载速度下降
我通过SSL实验室运行我们的网站,它给了我们一个“A”等级:
您的证书使用过时的SHA-1algorithm,这是由于Google Chrome现在警告的安全风险。
- http://googleonlinesecurity.blogspot.com/2014/09/gradually-sunsetting-sha-1.html
- https://community.qualys.com/blogs/securitylabs/2014/09/09/sha1-deprecation-what-you-need-to-know
- https://shaaaaaaaaaaaaa.com/check/aws.hatchlings.com
您需要生成一个新的CSR,并从您的SSL供应商处获得替代证书。
https://github.com/konklone/shaaaaaaaaaaaaa/issues/24#issuecomment-54021941
对于任何经销商或任何其他GeoTrust品牌证书有问题的RapidSSL用户:
- 使用您的FQDN和用于请求证书的电子邮件login到GeoTrust产品
- 按照通过电子邮件发送的login链接
- 点击重新发布
- 提供新的CSR并从下拉列表中selectSHA-256
这个门户也是您撤销旧证书的地方。
虽然您目前在SSL实验室获得A,但详细报告告诉您这是橙色部分的问题:
对于即使使用SHA2也遇到此问题的用户,以及SSL LAB(+ NO警告)上的非常好的评级:请检查您的libnss版本。 我目前在这里使用Ubuntu 13.10,libnss是3.15.x版本。
=>似乎3.17之前的版本,libnss检查最弱的安全链,而不是最强的。 这意味着,如果您的连锁店中有SHA1证书,则Chrome会显示警告。
解决scheme:将libnss更新到更新的版本。
我与我的网站有类似的经验,我最初认为这是证书,但证书的algorithm是在SHA-2。 我终于发现问题不是来自Chrome,而是我的avast邮件盾阻止证书。