Chrome में SSL प्रमाणपत्र अमान्य है

वेबसाइट scirra.com के लिए ( एसएसएल लैब्स सर्वर टेस्ट रिजल्ट के लिए क्लिक करें ) Google क्रोम निम्नलिखित आइकन की रिपोर्ट करता है:

यह एक EV एसएसएल है, और यह फ़ायरफ़ॉक्स और इंटरनेट एक्सप्लोरर में ठीक काम करता है, लेकिन क्रोम नहीं। इसका कारण क्या है?

अब आप जो देख रहे हैं, वह "ग्रीन एड्रेस बार" नहीं है, जिसे आप EV प्रमाण पत्र से उम्मीद करेंगे, लेकिन निम्नलिखित हैं:

इसका कारण Google ऑनलाइन सुरक्षा ब्लॉग पर निम्नलिखित घोषणा है :

SHA-1 क्रिप्टोग्राफिक हैश एल्गोरिथ्म को कम से कम 2005 - 9 साल पहले के डिजाइन किए जाने की तुलना में काफी कमजोर माना जाता है। सार्वजनिक वेब PKI के लिए इसे सुरक्षित मानने के लिए SHA-1 के खिलाफ टकराव के हमले हमारे लिए बहुत सस्ते हैं। हम केवल यह उम्मीद कर सकते हैं कि हमले सस्ते हो जाएंगे।

इसलिए Chrome नवंबर में Chrome 39 के साथ SHA-1 (HTTPS के लिए प्रमाणपत्र हस्ताक्षरों में प्रयुक्त) को सूर्यास्त करने की प्रक्रिया शुरू करेगा। ... 1 जून 2016 से 31 दिसंबर 2016 (समावेशी) के बीच समाप्त होने वाली अंतिम-इकाई प्रमाणपत्र वाली साइटें, और जिसमें प्रमाणपत्र श्रृंखला के भाग के रूप में SHA-1-आधारित हस्ताक्षर शामिल हैं, उन्हें "सुरक्षित, लेकिन मामूली के साथ माना जाएगा" त्रुटि "।

"सुरक्षित लेकिन छोटी त्रुटियों के साथ" पैडलॉक में चेतावनी संकेत द्वारा इंगित किया गया है और विस्तारित संदेश में पुरानी सुरक्षा सेटिंग्स तथ्य यह है कि प्रमाणपत्र SHA-1 हैश एल्गोरिथ्म पर निर्भर करता है।

आपको जो करने की आवश्यकता है वह निम्नलिखित है:

SHA-256 हैश और एक नए प्रमाणपत्र हस्ताक्षर अनुरोध (CSR) के साथ एक नई निजी कुंजी बनाएं और अपने एसएसएल प्रदाता को नए प्रमाण पत्र के साथ फिर से जारी करने के लिए प्राप्त करें। EV सर्टिफिकेट के साथ एक री-इश्यू के लिए आमतौर पर कमोबेश उन्हीं हुप्स की जरूरत होती है, जिन्हें आपको शुरू में सर्टिफिकेट हासिल करने के लिए कूदना पड़ता था, लेकिन आपको मौजूदा सर्टिफिकेट की उसी एक्सपायरी डेट के बिना / थोड़े अतिरिक्त चार्ज पर नया सर्टिफिकेट मान्य करना चाहिए।

Opensl में आप निम्न कमांड लाइन की तरह कुछ का उपयोग करेंगे:

openssl req -nodes -sha256 -newkey rsa:2048 -keyout www.scirra.com.sha256.key -out www.scirra.com.sha256.csr

इसकी वजह है SHA-1 के लिए Google की सूर्यास्त योजना ।

• तत्काल सुरक्षा की कोई चिंता नहीं है।
• एसएचए -2 एसएसएल के लिए वर्तमान अनुशंसित हैशिंग एल्गोरिथ्म है। SHA-1 का उपयोग कर प्रमाण पत्र के साथ कोई उल्लंघनों की सूचना नहीं दी गई है।
• Chrome 39 पर अपमानित यूआई संकेतक का प्रदर्शन और बाद में Google के SHA-1 अपव्यय योजना का हिस्सा है और सभी प्रमाणपत्र अधिकारियों (CA) पर लागू होगा।
• अस्वीकृत UI केवल Chrome 39 के उपयोगकर्ताओं और बाद के संस्करणों द्वारा दिखाई देगा। अपने sysadmin के बाद अपनी मौजूदा निजी कुंजी (अपने वेब सर्वर पर) का पता लगाने के बाद अपने एसएसएल विक्रेता से संपर्क करें , और वे मुफ्त में SHA-2 के साथ एक प्रमाणपत्र फिर से प्रदर्शन करेंगे। आपको एक नए CSR की आवश्यकता होगी।

यदि ओपनएसएसएल स्थापित है, तो निम्नलिखित OSX / Linux पर एक नया CSR बनाएगा (डोमेन के रूप में अपने मौजूदा एसएसएल प्रमाणपत्र क्षेत्रों का संदर्भ लें) (उर्फ "सामान्य नाम") समान रहने की आवश्यकता है:

लिनक्स / OSX:

openssl req -new -sha256 -key myexistingprivate.key -out newcsr.csr

Windows के लिए, यह TechNet आलेख देखें ।

इस बिंदु पर आपको मदद के लिए अपने विक्रेता से संपर्क करने की आवश्यकता हो सकती है, अगर आपको उनके एसएसएल पोर्टल के माध्यम से एक पुन: विकल्प नहीं दिखता है। कोमोडो की वेबसाइट यह विवरण देती है कि यह कैसे करना है यदि यह आपके लिए पर्याप्त जानकारी नहीं है।

एक बार SHA-2 प्रमाणपत्र स्थापित हो जाने के बाद, यह आपको क्रोम में दिखाई देने वाली "समस्या" से छुटकारा दिला देगा।

इसे गायब करने के लिए आपको SHA2 प्रमाणपत्र की आवश्यकता है। धीरे-धीरे सूर्यास्त के बारे में अधिक जानकारी SHA-1