O Google Chrome diz que meu SSL usa configurações de segurança desatualizadas, mas outros testes do site discordam [closed]

4

Eu instalei o StartSSL no meu servidor web que está executando o Linux Apache no CentOS 6.5. shaaaaaaaaaaaaa.com disse

Nice. example.com has a verifiable certificate chain signed with SHA-2.

No entanto, o Google Chrome no Debian 7.8 disse

The connection is encrypted using AES_128_CBC, with SHA1 for authentication and ECDHE_RSA as the key exchange mechanism.

Na caixa Debian, eu fiz

mkdir ~/StartComCerts
mv /etc/ssl/certs/StartCom* ~/StartComCerts

e o problema desapareceu. No entanto, os clientes esperados para fazer alterações em seus computadores não é uma solução viável. Então eu comprei o certificado GeoTrust QuickSSL Premium de ssls.com. Então eu fui para o link e ele disse "O certificado foi instalado corretamente". No entanto, quando vou ao meu site usando o Chrome no Debian 7.8, recebo as mensagens:

This site uses weak security configuration (SHA-1 signatures) so your connection may not be private.

e

The site is using outdated security settings that may prevent future versions of Chrome from being able to safely access it.

Eu testei meu site em www.ssllabs.com/ssltest/analyze.html. Ele classificou meu site com um A e disse que meu algoritmo de assinatura é SHA256withRSA. Eu fui ao shaaaaaaaaaaaaa.com disse

Nice. example.com has a verifiable certificate chain signed with SHA-2.

Eu fui para whynopadlock.com e tudo deu positivo. Também testei com o Chrome em outro computador, executando o Windows 7, e recebi um cadeado verde sem mensagens de erro.

Eu não sei porque estou recebendo o erro SHA-1 no Chrome no Debian.

Editar - 2015-06-15

Eu também tenho um problema do Sha-1 em alguns sistemas Windows. Abaixo está a captura de tela do Google Chrome no meu sistema Windows inicial (à esquerda) e no sistema operacional do Windows (à direita). Parece estar usando um certificado em cache Sha-1 em sistemas diferentes. Eu configurei o certificado intermediário de acordo com as instruções dadas pela GeoTrust.

Editar:

Eu tenho um negócio em casa, que é o objetivo do meu site.

    
por OtagoHarbour 15.06.2015 / 04:34

2 respostas

5

O problema é que o seu computador Windows tem antivírus Avast instalado. O Avast injeta um certificado SSL entre o site e o Google Chrome. Consulte "Avast web / mail shield" na parte superior da imagem à esquerda.

O Google Chrome exibe um aviso em seu computador, pois o Google Chrome valida o certificado falsificado localmente. O Avast AntiVirus falsifica os certificados SSL para que eles possam ver e verificar o tráfego SSL. Varreduras como os laboratórios Qualys SSL vão lhe dizer a verdade.

Você pode desativar o Avast Web / Mail shield e tentar novamente no Google Chrome. Dessa forma, o Chrome validará o certificado que seu servidor atende e não o certificado SSL injetado / falsificado que o Avast injeta entre seu servidor e o Google Chrome.

Na imagem à esquerda, você está vendo as informações sobre o certificado Avast SSL. À direita, para informações sobre seu próprio certificado SSL da GeoTrust.

Estou assumindo que você também use a versão Linux do Avast em sua máquina Debian e que gere uma situação similar à da máquina Windows.

    
por 16.06.2015 / 08:05
1

O problema é que o seu certificado usa SHA1 como assinatura alogrythmus. Se seu certificado realmente usa SHA2, verifique todos os certificados intermediários (e raiz) em sua cadeia. Cada certificado tem que usar o SHA2.

O SHA1 é uma tecnologia antiga (fraca) e não deve ser mais usada. A maioria dos provedores de PKI tem ambas as possibilidades. Basta baixar os certificados de cadeia SHA2 e enviá-los para o seu servidor. Então o problema será resolvido.

Como você está usando um certificado SHA2 (como visto acima), o problema é estar em um dos certificados intermediários. Verifique todos por SHA1 e obtenha os SHA2.

    
por 16.06.2015 / 11:02