Eu tentei atualizar meu site, executando nginx , de um certificado SHA-1 SSL123 para um certificado SHA-2.
Página da Web com ACs intermediárias tem tabelas "RSA SHA-2 (sob Root SHA-1)" e "RSA SHA-2 (sob Root SHA-2)".
Se eu usar o pacote de CA para "sob SHA-1 Root", vejo que o pacote contém dois certificados e meu site funciona. No entanto, o Teste SSL da Qualys me apaga por ter um certificado SHA-2 com SHA-1 na cadeia de certificados.
No entanto, a tabela "sob Raiz SHA-2" não tem pacotes configuráveis. Se eu usar o certificado único intermediário lá, o Firefox e outras ferramentas apontam que a cadeia de certificados está quebrada, e os navegadores não carregam meu site.
Neste momento, estou usando a raiz SHA-1 para ter um site de trabalho. No entanto, gostaria de mudar para a raiz SHA-2.
Onde obtenho o certificado intermediário ausente? Ou, se esse não é o problema, como criar um arquivo de certificado combinado para o SSL123 de Thawte para um certificado SHA-2 com uma cadeia completa de certificados intermediários SHA-2?
Obrigado!
Acontece que o site de Thawte é confuso para pessoas que não trabalham muito com certificados SSL.
Apesar do fato de que há dois certificados exibidos para SSL123 SHA2 em Raiz SHA-1 , você só precisa do primeiro. O segundo certificado é a raiz SHA-1, e você não precisa concatenar com o certificado do seu site para implantação em nginx . Basta usar o primeiro certificado e você está pronto.
Seu próprio certificado é assinado por exatamente um certificado.
Isso significa que seu certificado está em uma extremidade de exatamente uma dessas cadeias Thawte, você precisaria de um certificado diferente para estar na outra cadeia (uma assinada pelo certificado intermediário dessa cadeia).
Quanto à assinatura do certificado raiz sendo SHA-1, SHA-2 ou outra coisa, é de pouca importância em comparação com outros certificados na cadeia, já que a parte validadora já possui os certificados raiz que eles confiam, eles não precisam de uma assinatura para verificar as raízes. (Veja, por exemplo, Reprovação SHA1: o que você precisa Conheça .
Examinando os certificados no Thawte SSL123 SHA- 2 (sob a raiz SHA1) verifica-se que um dos certificados intermediários ("Primary Intermediate CA") também é SHA-1 (não apenas a raiz). É quase seguramente este certificado para o qual você está "apagando". Você precisará fazer com que Thawte lhe envie um novo certificado assinado pelo certificado intermediário da outra cadeia para resolver isso.
Tags nginx hash ssl-certificate