Sertifikat SSL tidak valid di Chrome

Untuk situs web scirra.com ( klik untuk Hasil Tes Server Lab SSL ) Google Chrome melaporkan ikon berikut:

Ini adalah EV SSL, dan sepertinya berfungsi baik di Firefox dan Internet Explorer, tetapi tidak Chrome. Apa alasannya?

Apa yang Anda lihat sekarang bukanlah "bilah alamat hijau" yang Anda harapkan dengan sertifikat EV, tetapi yang berikut:

Alasan untuk itu adalah pengumuman berikut di blog Keamanan Online Google :

Algoritma hash kriptografi SHA-1 telah diketahui jauh lebih lemah daripada yang dirancang sejak setidaknya 2005 - 9 tahun yang lalu. Serangan tabrakan terhadap SHA-1 terlalu terjangkau bagi kami untuk menganggapnya aman untuk web PKI publik. Kami hanya bisa berharap bahwa serangan akan menjadi lebih murah.

Itu sebabnya Chrome akan memulai proses sunsetting SHA-1 (seperti yang digunakan dalam tanda tangan sertifikat untuk HTTPS) dengan Chrome 39 pada bulan November. ... Situs dengan sertifikat entitas akhir yang berakhir antara 1 Juni 2016 hingga 31 Desember 2016 (inklusif), dan yang mencakup tanda tangan berbasis SHA-1 sebagai bagian dari rantai sertifikat, akan diperlakukan sebagai "aman, tetapi dengan sedikit kesalahan ”.

"Aman tetapi dengan kesalahan kecil" ditunjukkan oleh tanda peringatan di gembok dan pengaturan keamanan yang ketinggalan zaman dalam pesan yang diperluas adalah kenyataan bahwa sertifikat bergantung pada algoritma hash SHA-1.

Yang perlu Anda lakukan adalah sebagai berikut:

Hasilkan kunci pribadi baru dengan hash SHA-256 dan Permintaan Penandatanganan Sertifikat (CSR) baru dan minta penyedia SSL Anda untuk menerbitkan kembali Anda dengan sertifikat baru. Dengan sertifikat EV, penerbitan ulang biasanya membutuhkan kurang lebih simpai yang sama dengan yang harus Anda lewati untuk mendapatkan sertifikat pada awalnya, tetapi Anda harus mendapatkan sertifikat baru yang valid hingga tanggal kedaluwarsa yang sama dari sertifikat saat ini tanpa / sedikit biaya tambahan.

Di openssl Anda akan menggunakan sesuatu seperti baris perintah berikut:

openssl req -nodes -sha256 -newkey rsa:2048 -keyout www.scirra.com.sha256.key -out www.scirra.com.sha256.csr

Ini karena rencana matahari terbenam Google untuk SHA-1 .

• Tidak ada masalah keamanan langsung.
• SHA-2 adalah algoritma hashing yang disarankan saat ini untuk SSL. Tidak ada pelanggaran dengan sertifikat menggunakan SHA-1 yang telah dilaporkan.
• Tampilan indikator UI terdegradasi di Chrome 39 dan yang lebih baru adalah bagian dari rencana penghentian SHA-1 Google dan akan berlaku untuk semua Otoritas Sertifikat (CA).
• UI terdegradasi hanya akan terlihat oleh pengguna Chrome 39 dan yang lebih baru, bukan versi sebelumnya. Hubungi Vendor SSL Anda setelah sysadmin Anda menemukan kunci pribadi yang ada (di server web Anda), dan mereka akan melakukan penerbitan ulang sertifikat dengan SHA-2 secara gratis. Anda akan membutuhkan CSR baru.

Berikut ini akan membuat CSR baru di OSX / Linux jika OpenSSL diinstal (rujuk ke bidang Sertifikat SSL yang ada karena domain (alias "Nama Umum") harus tetap sama:

Linux / OSX:

openssl req -new -sha256 -key myexistingprivate.key -out newcsr.csr

Untuk Windows, lihat artikel TechNet ini .

Pada titik ini Anda mungkin perlu menghubungi vendor Anda untuk bantuan, jika Anda tidak melihat opsi penerbitan ulang melalui portal SSL mereka. Situs web Comodo akan memerinci cara melakukannya jika informasi ini tidak cukup untuk Anda.

Setelah sertifikat SHA-2 diinstal, ini akan menghilangkan "masalah" yang Anda lihat di Chrome.

Anda membutuhkan sertifikat SHA2 untuk menghilangkannya. Info lebih lanjut tentang Sunsetting secara bertahap SHA-1