谷歌浏览器说我的SSL使用过时的安全设置,但其他网站testing不同意
我在CentOS 6.5上运行Linux Apache的Web服务器上安装了StartSSL。 shaaaaaaaaaaaaa.com说
尼斯。 example.com有一个用SHA-2签名的可validation的证书链。
不过Debian 7.8上的Google Chrome表示
连接使用AES_128_CBCencryption,SHA1用于validation,ECDHE_RSA用作密钥交换机制。
在Debian中,我做了
mkdir ~/StartComCerts mv /etc/ssl/certs/StartCom* ~/StartComCerts 问题就消失了。 但是,期望客户对其电脑进行更改并不是一个可行的解决scheme。 所以我从ssls.com购买了GeoTrust QuickSSL Premium证书。 然后我去了https://knowledge.geotrust.com/support/knowledge-base ,它说“证书安装正确”。 但是,当我使用Debian 7.8上的Chrome浏览器访问我的网站时,我收到以下消息:
此站点使用弱安全configuration(SHA-1签名),因此您的连接可能不是私有的。
和
该网站正在使用过时的安全设置,可能会阻止未来版本的Chrome能够安全地访问它。
我在www.ssllabs.com/ssltest/analyze.html上testing了我的网站。 它用A评价我的网站,并说我的签名algorithm是SHA256withRSA。 我去了shaaaaaaaaaaaaa.com说
尼斯。 example.com有一个用SHA-2签名的可validation的证书链。
我去了whynopadlock.com,一切正面检查。 我还使用另一台运行Windows 7的计算机上的Chrome进行了testing,并获得了一个没有错误消息的绿色挂锁。
我不知道为什么我在Debian的Chrome上得到SHA-1错误。
编辑 – 2015-06-15
我在某些Windows系统上也有一个Sha-1的问题。 以下是我的家用Windows系统上的Google Chrome屏幕截图(左)和我的工作Windows系统(右图)。 它似乎在不同的系统上使用Sha-1caching的证书。 我按照GeoTrust的指示设置了中间证书。
编辑:
我有一个家庭企业,这是我的网站的目的。
问题是您的Windows计算机安装了Avast防病毒软件。 Avast在网站和谷歌浏览器之间插入SSL证书。 请参阅左侧图像顶部的“Avast网页/邮件盾牌”。
由于Chromevalidation了本地欺骗性证书,因此Google Chrome会在您的计算机上显示警告。 Avast AntiVirus欺骗SSL证书,以便他们可以查看和扫描SSLstream量。 像Qualys SSL实验室的扫描将告诉你事实。
您可以禁用Avast Web / Mail屏蔽并在Google Chrome中重试。 这样,Chrome将validation您的服务器提供的证书,而不是Avast在您的服务器和Google Chrome之间注入的注入/欺骗SSL证书。
在左边的图片中,您正在查看有关Avast SSL证书的信息。 在有关您自己的GeoTrust SSL证书信息的权利。
我假设你在你的Debian机器上也使用了Avast的Linux版本,并且在Windows机器上产生类似的情况。
问题在于,您的证书使用SHA1作为签名alogrythmus。 如果您的证书实际上使用SHA2,请检查链中的所有中间(和根)证书。 每个证书都必须使用SHA2。
SHA1是旧的(弱)技术,不应该再使用了。 大多数PKI提供者都有可能性。 只需下载SHA2链接证书并将其上传到您的服务器。 那么问题就解决了。
正如您使用SHA2证书(如上所示),问题是在其中一个中间证书上。 检查他们所有的SHA1,并取而代之的SHA2。