为什么一台计算机上的Chrome会说我的证书无效/不安全?
我有一个来自StartSSL的网站通配符域证书( https://later.webblocks.nl/ )。
当我在家用电脑的任何浏览器中查看时,都很好。 (在Chrome中绿色locking。)当我在工作PC上的Chrome中检查它时,这并不好:
页面加载没有问题。 没有其他的请求,所以没有HTTP。 它使用安全的协议等我检查了SSL实验室和全球标志的连接,他们同意这是完全安全的。
- 哪些通配SSL证书供应商允许您在多台服务器上设置相同的证书?
- SSL也encryptionDNS地址吗?
- 运行SSL和电子邮件encryption有什么意义吗?
- 必须有SSL证书提供者?
- 什么时候使用https://什么时候使用ssl://?
在同一台计算机上,其他浏览器都可以。 在其他电脑上,Chrome也很好。 我尝试重新启动,刷新caching,隐身模式等没有任何变化。
对我来说这不是真正的问题,因为我知道这是安全的,但仍然很烦人。
有任何想法吗?
PS。 Chrome不久前用Windows XP做了这样的事情:突然网站是“不安全的”,因为Windows协议是不安全的。 这两个电脑是Windows 7和相同版本的Chrome,所以这可能不是…
更多信息:
由于某种原因,2台电脑有不同的证书链。 域名证书和根证书是一样的,但是中介是不一样的。 在我的家用电脑上使用sha2,在我的工作电脑上使用sha1。 中介包含在服务器证书(其中有sha2),这很奇怪。 所有的SSL检测器只检测到sha2中介证书。 这是怎么回事!?
原因是在StartCOM的论坛上解释的:
https://forum.startcom.org/viewtopic.php?f=15&t=15929&p=21716
在Chrome上:
https://code.google.com/p/chromium/issues/detail?id=473105
这确实是SHA1。
这是由于Windows或Chrome的证书caching。 由于它们(新旧中间证书)具有相同的名称,所以客户端将使用caching的变体,这可能是旧的和SHA1。 命名是StartCOM的错误。 坏caching是Windows或Chrome的错。 他们不是很努力地解决这个问题。
SSL检查器不具有相同的问题,因为他们不使用caching任何东西 。
不同的计算机有不同的结果,因为caching是本地的。
StartCom论坛上的(非常具体的本地)解决scheme适用于我:清除本地caching中的证书,触发重新下载新的证书,但对于所有其他用户来说,这不是一个真正的解决scheme。 (在我的情况下只有几个,所以没有问题。)
我认为这可能与SHA-1的弃用有关 。 今年早些时候,Google对Chrome 41浏览器进行了修改。因此,将会处理2017年1月1日或之后终止实体证书且包含基于SHA1的签名作为证书链一部分的网站 ,作为“肯定不安全”。 使用SHA1的可信根证书不受影响。 客户信任他们的身份目的,而不是他们的签名algorithm的实力'。 这是上述链接的直接引用。
我检查了您的证书 – 它在01/2017之后过期,虽然您的域的证书是使用SHA-2签名的,但您使用的“StartCom Class 2主要中间服务器CA”的中间链证书使用SHA-1签名algorithm。 该中间件也在2017年1月1日后到期。
对不起,会添加一个评论,但没有足够的代表。 看到这里: https : //security.stackexchange.com/questions/52834/what-exactly-does-it-mean-when-chrome-reports-a-certificate-does-not-have-publi