Por que o computador Chrome on 1 diz que meu certificado é inválido / inseguro? [duplicado]

Navegue suas respostas
4

Eu tenho um certificado de domínio curinga da StartSSL para um site ( link ).

Quando eu o verifico em qualquer navegador no meu PC doméstico, tudo está bem. (Bloqueio verde no Chrome.) Quando eu verifico no Chrome no meu PC de trabalho, não é bom:

Apáginaécarregadacomonenhumproblema.Nãoháoutrassolicitações,entãonadasobreHTTP.Eleusaprotocolossegurosetc.Verifiqueiaconexãoem SSL Labs e Sinal Global e eles concordam que é perfeitamente seguro.

No mesmo computador, outros navegadores estão bem com isso. Em outros computadores, o Chrome também está bem. Tentei reiniciar, liberar caches, modo de navegação anônima etc. Nada muda.

Não é um problema real para mim, porque sei que é seguro, mas ainda é irritante.

Alguma idéia?

PS. O Chrome fez algo assim há algum tempo com o Windows XP: de repente, os sites estavam "inseguros" porque os protocolos do Windows não eram seguros. Ambos os PCs são o Windows 7 e a mesma versão do Chrome, então provavelmente não é isso ...

Mais informações:

Por algum motivo, os dois computadores possuem diferentes cadeias de certificados. O certificado de domínio e o certificado raiz são os mesmos, mas o intermediário é diferente. No meu PC em casa ele usa o sha2, no meu PC de trabalho ele usa sha1. O intermediário está incluído no certificado do servidor (que tem sha2), então isso é estranho. Todos os verificadores SSL detectam apenas o certificado intermediário sha2. O que está acontecendo!?

    
por Rudie 22.04.2015 / 19:16

3 respostas

12

O motivo é explicado no fórum do StartCOM:

link

E no Chrome:

link

É de fato SHA1.

É devido ao cache de certificados do Windows ou do Chrome. Como eles (certificado intermediário antigo e novo) têm o mesmo nome, o cliente usará a variante em cache, que pode ser antiga e SHA1. A nomenclatura é culpa do StartCOM. O mau armazenamento em cache é culpa do Windows ou do Chrome. Eles não estão trabalhando muito para consertá-lo.

Os verificadores de SSL não têm o mesmo problema, porque eles não usam nada em cache .

Computadores diferentes têm resultados diferentes, porque o cache é local.

A solução (muito específica, local) no fórum da StartCom funciona para mim: limpar o certificado do cache local para disparar o novo download do novo certificado, mas não é realmente uma solução para todos os outros usuários. (No meu caso, apenas alguns, então não há problema.)

    
por 23.04.2015 / 19:45
4

Acredito que isso possa ter a ver com a depreciação do SHA-1 . No início deste ano, o Google fez uma alteração em seu navegador Chrome 41. Por isso, "sites com certificados de entidade final que expiram em 1º de janeiro de 2017 ou depois, e que incluem uma assinatura baseada em SHA1 como parte da cadeia de certificados , será tratado como "afirmativamente inseguro" '. Certificados raiz confiáveis usando SHA1 não são afetados. Os clientes confiam neles para fins de identidade e não para a força de seu algoritmo de assinatura '. Esta foi uma citação direta do link acima.

Eu verifiquei seu certificado - ele expira depois de 01/2017 e, embora o certificado para seu domínio tenha sido assinado usando SHA-2, o certificado de cadeia intermediário para 'CA do Servidor Intermediário Primário Classe 2' que você está usando usa SHA-1 algoritmo de assinatura. O intermediário também expira após 01/2017.

    
por 22.04.2015 / 23:34
0

Desculpe, teria adicionado como comentário, mas sem representante suficiente. Veja aqui: link

    
por 22.04.2015 / 19:35

Tags

O cliente vSphere restringe o número de núcleos para VMs? Como copiar as permissões de um arquivo para outro?