Chrome में SSL प्रमाणपत्र अमान्य है


9

वेबसाइट scirra.com के लिए ( एसएसएल लैब्स सर्वर टेस्ट रिजल्ट के लिए क्लिक करें ) Google क्रोम निम्नलिखित आइकन की रिपोर्ट करता है:

यहां छवि विवरण दर्ज करें

यह एक EV एसएसएल है, और यह फ़ायरफ़ॉक्स और इंटरनेट एक्सप्लोरर में ठीक काम करता है, लेकिन क्रोम नहीं। इसका कारण क्या है?


वास्तव में, वेबसाइटों का उल्लेख करना एक अच्छा अभ्यास नहीं है, हो सकता है कि यदि आप एसई कंपनी को इसकी विज्ञापन लागत का भुगतान करें ...
peterh - Monica

6
@PeterHorvath क्या इस तरह के प्रश्न के लिए डोमेन को शामिल करना मान्य नहीं होगा? वास्तविक प्रमाण पत्र की जांच के बिना हम समस्या का कारण कैसे निर्धारित कर सकते हैं? फिर भी, मैंने सादे पाठ में डोमेन के साथ एक संपादन और क्वालिस एसएसएल सर्वर टेस्ट के लिए एक लिंक का सुझाव दिया।
पॉल

1
@Paul यह इसलिए है क्योंकि मैंने केवल उसे चेतावनी दी थी, और कोई अन्य नहीं किया। और अब मैं उनके सवाल को भी खारिज कर देता हूं क्योंकि मुझे लगता है कि वह इसके हकदार हैं। आम तौर पर, समीक्षाओं के दौरान, अगर हमें कोई बाहरी लिंक मिलता है, तो इसकी जांच करने की आवश्यकता है कि क्या यह कुछ "छिपा हुआ रत्न" या पसंद नहीं है। यह बहुत बेहतर है यदि url किसी ज्ञात साइट (imgur, jsfiddle, आदि) से आ रहा है।
पीटर -


मुझे लगता है कि बाजार के सभी ब्राउज़र SHA-1 को सूर्यास्त कर रहे होंगे। Google ने सिर्फ लीड लिया।
taco

जवाबों:


15

अब आप जो देख रहे हैं, वह "ग्रीन एड्रेस बार" नहीं है, जिसे आप EV प्रमाण पत्र से उम्मीद करेंगे, लेकिन निम्नलिखित हैं:

यहां छवि विवरण दर्ज करें

इसका कारण Google ऑनलाइन सुरक्षा ब्लॉग पर निम्नलिखित घोषणा है :

SHA-1 क्रिप्टोग्राफिक हैश एल्गोरिथ्म को कम से कम 2005 - 9 साल पहले के डिजाइन किए जाने की तुलना में काफी कमजोर माना जाता है। सार्वजनिक वेब PKI के लिए इसे सुरक्षित मानने के लिए SHA-1 के खिलाफ टकराव के हमले हमारे लिए बहुत सस्ते हैं। हम केवल यह उम्मीद कर सकते हैं कि हमले सस्ते हो जाएंगे।

इसलिए Chrome नवंबर में Chrome 39 के साथ SHA-1 (HTTPS के लिए प्रमाणपत्र हस्ताक्षरों में प्रयुक्त) को सूर्यास्त करने की प्रक्रिया शुरू करेगा। ... 1 जून 2016 से 31 दिसंबर 2016 (समावेशी) के बीच समाप्त होने वाली अंतिम-इकाई प्रमाणपत्र वाली साइटें, और जिसमें प्रमाणपत्र श्रृंखला के भाग के रूप में SHA-1-आधारित हस्ताक्षर शामिल हैं, उन्हें "सुरक्षित, लेकिन मामूली के साथ माना जाएगा" त्रुटि "।

"सुरक्षित लेकिन छोटी त्रुटियों के साथ" पैडलॉक में चेतावनी संकेत द्वारा इंगित किया गया है और विस्तारित संदेश में पुरानी सुरक्षा सेटिंग्स तथ्य यह है कि प्रमाणपत्र SHA-1 हैश एल्गोरिथ्म पर निर्भर करता है।

आपको जो करने की आवश्यकता है वह निम्नलिखित है:

SHA-256 हैश और एक नए प्रमाणपत्र हस्ताक्षर अनुरोध (CSR) के साथ एक नई निजी कुंजी बनाएं और अपने एसएसएल प्रदाता को नए प्रमाण पत्र के साथ फिर से जारी करने के लिए प्राप्त करें। EV सर्टिफिकेट के साथ एक री-इश्यू के लिए आमतौर पर कमोबेश उन्हीं हुप्स की जरूरत होती है, जिन्हें आपको शुरू में सर्टिफिकेट हासिल करने के लिए कूदना पड़ता था, लेकिन आपको मौजूदा सर्टिफिकेट की उसी एक्सपायरी डेट के बिना / थोड़े अतिरिक्त चार्ज पर नया सर्टिफिकेट मान्य करना चाहिए।

Opensl में आप निम्न कमांड लाइन की तरह कुछ का उपयोग करेंगे:

openssl req -nodes -sha256 -newkey rsa:2048 -keyout www.scirra.com.sha256.key -out www.scirra.com.sha256.csr

1
मैंने एसएसएल लैब्स सर्वर टेस्ट परिणामों में देखा कि HTTP सर्वर हस्ताक्षर Microsoft-IIS / 7.5 है। मैंने Microsoft के किसी भी सर्वर उत्पाद का उपयोग नहीं किया है, इसलिए यदि आपका opensslआदेश इस उपयोगकर्ता के लिए विकल्प है तो निश्चित नहीं था ।
पॉल

1
आपको एक नई कुंजी उत्पन्न करने की आवश्यकता नहीं है । आप अपनी वर्तमान कुंजी के लिए एक नया प्रमाणपत्र प्राप्त कर सकते हैं, जैसा कि टैको के उत्तर में दिखाया गया है। यह वैसे भी मायने नहीं रखता है, हालांकि, प्राइम नंबर जेनरेट करने वाले कुछ सीपीयू साइकल को जलाने के अलावा।
मैट नॉर्डहॉफ

10

इसकी वजह है SHA-1 के लिए Google की सूर्यास्त योजना

  • तत्काल सुरक्षा की कोई चिंता नहीं है।
  • एसएचए -2 एसएसएल के लिए वर्तमान अनुशंसित हैशिंग एल्गोरिथ्म है। SHA-1 का उपयोग कर प्रमाण पत्र के साथ कोई उल्लंघनों की सूचना नहीं दी गई है।
  • Chrome 39 पर अपमानित यूआई संकेतक का प्रदर्शन और बाद में Google के SHA-1 अपव्यय योजना का हिस्सा है और सभी प्रमाणपत्र अधिकारियों (CA) पर लागू होगा।
  • अस्वीकृत UI केवल Chrome 39 के उपयोगकर्ताओं और बाद के संस्करणों द्वारा दिखाई देगा। अपने sysadmin के बाद अपनी मौजूदा निजी कुंजी (अपने वेब सर्वर पर) का पता लगाने के बाद अपने एसएसएल विक्रेता से संपर्क करें , और वे मुफ्त में SHA-2 के साथ एक प्रमाणपत्र फिर से प्रदर्शन करेंगे। आपको एक नए CSR की आवश्यकता होगी।

यदि ओपनएसएसएल स्थापित है, तो निम्नलिखित OSX / Linux पर एक नया CSR बनाएगा (डोमेन के रूप में अपने मौजूदा एसएसएल प्रमाणपत्र क्षेत्रों का संदर्भ लें) (उर्फ "सामान्य नाम") समान रहने की आवश्यकता है:

लिनक्स / OSX:

openssl req -new -sha256 -key myexistingprivate.key -out newcsr.csr

Windows के लिए, यह TechNet आलेख देखें

इस बिंदु पर आपको मदद के लिए अपने विक्रेता से संपर्क करने की आवश्यकता हो सकती है, अगर आपको उनके एसएसएल पोर्टल के माध्यम से एक पुन: विकल्प नहीं दिखता है। कोमोडो की वेबसाइट यह विवरण देती है कि यह कैसे करना है यदि यह आपके लिए पर्याप्त जानकारी नहीं है।

एक बार SHA-2 प्रमाणपत्र स्थापित हो जाने के बाद, यह आपको क्रोम में दिखाई देने वाली "समस्या" से छुटकारा दिला देगा।


5

इसे गायब करने के लिए आपको SHA2 प्रमाणपत्र की आवश्यकता है। धीरे-धीरे सूर्यास्त के बारे में अधिक जानकारी SHA-1


2
एसएसएल लैब्स ने मेरी वेबसाइट को सही ढंग से एसएचए 1 प्रमाण पत्र होने के बावजूद रिपोर्ट किया है , फिर भी क्रोम में यह चेतावनी नहीं है। हालाँकि, SSL Labs की रिपोर्ट है कि scirra.com में SSL 3, RC4 और कोई FS सहित कई अन्य मुद्दे हैं। मुझे संदेह है कि यह केवल SHA1 का उपयोग करके प्रमाणपत्र पर हस्ताक्षर नहीं किया गया है, बल्कि यह भी है कि इसकी समाप्ति तिथि SHA1 सूर्यास्त (2016) के बाद है।
पॉल

1
@Paul जो लिंक में शामिल है। Sites with end-entity certificates that expire on or after 1 January 2017, and which include a SHA-1-based signature as part of the certificate chain, will be treated as “neutral, lacking security”.
फकर

2
@faker SE साइटें उन उत्तरों या प्रश्नों पर ध्यान केंद्रित करती हैं जो लिंक में जानकारी पर निर्भर करते हैं। संबंधित जानकारी शामिल की जानी चाहिए। वास्तव में, मैं यह बताना चाहूंगा कि यह उत्तर तकनीकी रूप से गलत है, क्योंकि उपयोगकर्ता 2016 से पहले समाप्त होने वाले SHA1 प्रमाणपत्र का उपयोग करके समस्या को हल कर सकता है
पॉल

1
@ पाओल मेला काफी, लेकिन आपने कहा कि आपको संदेह है कि यही कारण है। मैं केवल स्पष्ट कर रहा था ...
फकर

3
स्टैक ओवरफ्लो में वे कैसे करते हैं, इस पर एक नज़र डालें । यह आपके से बेहतर उत्तर है।
पॉल
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.