Certificado SSL inválido no Chrome

Navegue suas respostas
9

Para o website scirra.com ( clique em Resultados de testes do servidor SSL Labs Google Chrome reporta o seguinte ícone:

É um EV SSL e parece funcionar bem no Firefox e no Internet Explorer, mas não no Chrome. Qual é o motivo disso?

    
por Tom Gullen 28.01.2015 / 16:05

3 respostas

15

O que você vê agora não é a "barra de endereço verde" que você esperaria com um certificado EV, mas o seguinte:

Arazãoparaissoéoanúncioaseguirno blog de segurança on-line do Google :

The SHA-1 cryptographic hash algorithm has been known to be considerably weaker than it was designed to be since at least 2005 — 9 years ago. Collision attacks against SHA-1 are too affordable for us to consider it safe for the public web PKI. We can only expect that attacks will get cheaper.

That’s why Chrome will start the process of sunsetting SHA-1 (as used in certificate signatures for HTTPS) with Chrome 39 in November. ... Sites with end-entity certificates that expire between 1 June 2016 to 31 December 2016 (inclusive), and which include a SHA-1-based signature as part of the certificate chain, will be treated as “secure, but with minor errors”.

O "seguro, mas com erros menores" é indicado pelo sinal de aviso no cadeado e as configurações de segurança desatualizadas na mensagem estendida são o fato de que o certificado depende do algoritmo hash SHA-1.

O que você precisa fazer é o seguinte:

Gere uma nova chave privada com um hash SHA-256 e uma nova Solicitação de assinatura de certificado (CSR) e peça ao seu provedor SSL para reemitir você com um novo certificado. Com os certificados EV, um reemissão normalmente exige mais ou menos os mesmos aros pelos quais você teve que passar para obter o certificado inicialmente, mas você deve obter um novo certificado válido até a mesma data de expiração do certificado atual, com pouca ou nenhuma cobrança adicional.

No openssl você usaria algo como a seguinte linha de comando: 

openssl req -nodes -sha256 -newkey rsa:2048 -keyout www.scirra.com.sha256.key -out www.scirra.com.sha256.csr
    
por 28.01.2015 / 17:39
10

Isso se deve ao plano de desativação do Google para o SHA-1 .

  • Não há preocupação imediata com segurança.
  • O SHA-2 é o algoritmo de hash recomendado atualmente para SSL. Nenhuma violação com certificados usando SHA-1 foi relatada.
  • A exibição de indicadores de interface do usuário degradados no Chrome 39 e posterior faz parte do plano de suspensão de uso do Google SHA-1 e será aplicada a todas as autoridades de certificação (CAs).
  • A interface do usuário degradada só será visível pelos usuários do Chrome 39 e posterior, não de versões anteriores. Entre em contato com seu Fornecedor de SSL depois de ter seu sysadmin localizando sua chave privada existente (em seu servidor web), e eles executarão uma reemissão de certificado com SHA-2 gratuitamente. Você precisará de um novo CSR.

A seguir, será criado um novo CSR no OSX / Linux se o OpenSSL estiver instalado (consulte os campos do Certificado SSL existentes, pois o domínio (também conhecido como "Nome Comum") precisa permanecer o mesmo:

Linux / OSX: 

openssl req -new -sha256 -key myexistingprivate.key -out newcsr.csr

Para o Windows, consulte este artigo do TechNet .

Nesse momento, talvez seja necessário entrar em contato com o fornecedor para obter ajuda, caso você não veja uma opção de reemissão via portal SSL. O site da Comodo mostra detalhes sobre como fazer isso, se isso não for informação suficiente para você.

Quando o certificado SHA-2 for instalado, isso eliminará o "problema" que você vê no Chrome.

    
por 28.01.2015 / 19:49
5

Você precisa do certificado SHA2 para fazê-lo desaparecer. Mais informações sobre o enfraquecimento gradual do SHA-1

    
por 28.01.2015 / 16:10

Tags

Aparentemente, componentes aleatórios no DL380 G5 não funcionam mais depois de aplicar as atualizações Quando você usaria a opção "password never expires"?