Sertifikat SSL tidak valid di Chrome

9

Untuk situs web scirra.com ( klik untuk Hasil Tes Server Lab SSL ) Google Chrome melaporkan ikon berikut:

Masukkan deskripsi gambar di sini

Ini adalah EV SSL, dan sepertinya berfungsi baik di Firefox dan Internet Explorer, tetapi tidak Chrome. Apa alasannya?

Tom Gullen
sumber
Sebenarnya, merujuk situs web bukan praktik yang baik, mungkin jika Anda akan membayar biaya iklannya ke perusahaan SE ...
peterh - Reinstate Monica
6
@PeterHorvath Bukankah valid untuk menyertakan domain untuk pertanyaan seperti ini? Bagaimana kita dapat menentukan penyebab masalah tanpa menyelidiki sertifikat yang sebenarnya? Namun demikian, saya menyarankan edit dengan domain dalam teks biasa dan tautan ke Uji Server SSL Qualys.
Paul
1
@ Paul Ini karena saya hanya memperingatkannya, dan tidak melakukan yang lain. Dan sekarang saya bahkan menjawab pertanyaannya karena saya pikir itu layak untuk itu. Biasanya, selama ulasan, jika kita menemukan tautan eksternal, perlu diperiksa apakah itu bukan "permata tersembunyi" atau sejenisnya. Jauh lebih baik jika url berasal dari situs yang dikenal (imgur, jsfiddle, dll).
peterh
Saya akan membayangkan semua browser di pasaran akan berjemur SHA-1. Google baru saja memimpin.
taco

Jawaban:

15

Apa yang Anda lihat sekarang bukanlah "bilah alamat hijau" yang Anda harapkan dengan sertifikat EV, tetapi yang berikut:

masukkan deskripsi gambar di sini

Alasan untuk itu adalah pengumuman berikut di blog Keamanan Online Google :

Algoritma hash kriptografi SHA-1 telah diketahui jauh lebih lemah daripada yang dirancang sejak setidaknya 2005 - 9 tahun yang lalu. Serangan tabrakan terhadap SHA-1 terlalu terjangkau bagi kami untuk menganggapnya aman untuk web PKI publik. Kami hanya bisa berharap bahwa serangan akan menjadi lebih murah.

Itu sebabnya Chrome akan memulai proses sunsetting SHA-1 (seperti yang digunakan dalam tanda tangan sertifikat untuk HTTPS) dengan Chrome 39 pada bulan November. ... Situs dengan sertifikat entitas akhir yang berakhir antara 1 Juni 2016 hingga 31 Desember 2016 (inklusif), dan yang mencakup tanda tangan berbasis SHA-1 sebagai bagian dari rantai sertifikat, akan diperlakukan sebagai "aman, tetapi dengan sedikit kesalahan ”.

"Aman tetapi dengan kesalahan kecil" ditunjukkan oleh tanda peringatan di gembok dan pengaturan keamanan yang ketinggalan zaman dalam pesan yang diperluas adalah kenyataan bahwa sertifikat bergantung pada algoritma hash SHA-1.

Yang perlu Anda lakukan adalah sebagai berikut:

Hasilkan kunci pribadi baru dengan hash SHA-256 dan Permintaan Penandatanganan Sertifikat (CSR) baru dan minta penyedia SSL Anda untuk menerbitkan kembali Anda dengan sertifikat baru. Dengan sertifikat EV, penerbitan ulang biasanya membutuhkan kurang lebih simpai yang sama dengan yang harus Anda lewati untuk mendapatkan sertifikat pada awalnya, tetapi Anda harus mendapatkan sertifikat baru yang valid hingga tanggal kedaluwarsa yang sama dari sertifikat saat ini tanpa / sedikit biaya tambahan.

Di openssl Anda akan menggunakan sesuatu seperti baris perintah berikut:

openssl req -nodes -sha256 -newkey rsa:2048 -keyout www.scirra.com.sha256.key -out www.scirra.com.sha256.csr
HBruijn
sumber
1
Saya perhatikan dalam Hasil Uji Server Lab SSL bahwa tanda tangan server HTTP adalah Microsoft-IIS / 7.5. Saya belum pernah menggunakan produk server Microsoft, jadi tidak yakin apakah opensslperintah Anda adalah opsi untuk pengguna ini.
Paul
1
Anda tidak perlu membuat kunci baru. Anda bisa mendapatkan sertifikat baru untuk kunci Anda saat ini, seperti yang ditunjukkan dalam jawaban taco. Bagaimanapun juga, tidak masalah, kecuali untuk membakar beberapa siklus CPU yang menghasilkan bilangan prima.
Matt Nordhoff
10

Ini karena rencana matahari terbenam Google untuk SHA-1 .

  • Tidak ada masalah keamanan langsung.
  • SHA-2 adalah algoritma hashing yang disarankan saat ini untuk SSL. Tidak ada pelanggaran dengan sertifikat menggunakan SHA-1 yang telah dilaporkan.
  • Tampilan indikator UI terdegradasi di Chrome 39 dan yang lebih baru adalah bagian dari rencana penghentian SHA-1 Google dan akan berlaku untuk semua Otoritas Sertifikat (CA).
  • UI terdegradasi hanya akan terlihat oleh pengguna Chrome 39 dan yang lebih baru, bukan versi sebelumnya. Hubungi Vendor SSL Anda setelah sysadmin Anda menemukan kunci pribadi yang ada (di server web Anda), dan mereka akan melakukan penerbitan ulang sertifikat dengan SHA-2 secara gratis. Anda akan membutuhkan CSR baru.

Berikut ini akan membuat CSR baru di OSX / Linux jika OpenSSL diinstal (rujuk ke bidang Sertifikat SSL yang ada karena domain (alias "Nama Umum") harus tetap sama:

Linux / OSX:

openssl req -new -sha256 -key myexistingprivate.key -out newcsr.csr

Untuk Windows, lihat artikel TechNet ini .

Pada titik ini Anda mungkin perlu menghubungi vendor Anda untuk bantuan, jika Anda tidak melihat opsi penerbitan ulang melalui portal SSL mereka. Situs web Comodo akan memerinci cara melakukannya jika informasi ini tidak cukup untuk Anda.

Setelah sertifikat SHA-2 diinstal, ini akan menghilangkan "masalah" yang Anda lihat di Chrome.

taco
sumber
5

Anda membutuhkan sertifikat SHA2 untuk menghilangkannya. Info lebih lanjut tentang Sunsetting secara bertahap SHA-1

rumburak
sumber
2
SSL Labs melaporkan situs web saya dengan benar sebagai masih memiliki sertifikat SHA1, namun tidak memiliki peringatan yang sama di Chrome. Namun, SSL Labs melaporkan bahwa scirra.com memiliki banyak masalah lain, termasuk SSL 3, RC4, dan tidak ada FS. Saya menduga bukan hanya bahwa sertifikat ditandatangani menggunakan SHA1, tetapi juga bahwa tanggal kedaluwarsanya adalah setelah matahari terbenam SHA1 (2016).
Paul
1
@ Paul yang termasuk dalam tautan. Sites with end-entity certificates that expire on or after 1 January 2017, and which include a SHA-1-based signature as part of the certificate chain, will be treated as “neutral, lacking security”.
faker
2
@faker situs SE mengerutkan kening pada jawaban atau pertanyaan yang bergantung pada informasi dalam tautan. Informasi yang relevan harus dimasukkan. Sebenarnya, saya akan mengatakan bahwa jawaban ini secara teknis tidak benar, karena pengguna dapat memecahkan masalah dengan menggunakan sertifikat SHA1 yang berakhir sebelum 2016.
Paul
1
@ Paul cukup adil, tetapi Anda mengatakan Anda curiga bahwa inilah alasannya. Saya hanya mengklarifikasi ...
faker
3
Lihatlah bagaimana mereka melakukan sesuatu di Stack Overflow . Itu jawaban yang jauh lebih baik daripada jawaban Anda.
Paul