Após realizar uma atualização no Apache e modssl, recebo um aviso de segurança no logotipo de segurança da barra de URL no Chrome ao visitar meu site no servidor Apache:
The site is using outdated security settings that may prevent future versions of Chrome from being able to safely access it.
Verifiquei se o certificado contém as impressões digitais SHA1 e SHA256 e se não expirou. Quando visto com o Firefox, não há problema. No entanto, uma verificação com Qualys mostra o algoritmo de assinatura como SHA1 com RSA em vez de SHA256. Além disso, a conexão está usando o TLS 1.2.
Qual poderia ser a causa de tal aviso e como resolvê-lo?
Desculpe, acabei de perceber:
Este site que está usando o SHA1 não tem esse aviso, mas este site faz.
Uma impressão digital (às vezes impressão digital ) não é algo que está no certificado; em vez disso, é um hash calculado após o fato e mostrado para facilitar a comparação manual de certificados.
É importante não confundir isso com a assinatura do certificado, que é um valor real no certificado.
A partir da pergunta, parece que a assinatura deste certificado é realmente baseada em SHA-1.
Tags https mod-ssl apache-2.4