Google Chrome की राय से A + रेटिंग अभी भी असुरक्षित है

10

मैं DigitalOcean पर अपने सर्वर का प्रावधान कर रहा हूं , और हालांकि मुझे ssllabs से A + रेटिंग मिल रही है,

https://www.ssllabs.com/ssltest/analyze.html?d=zandu.biz

जब मैं अपनी साइट, https://www.zandu.biz या https://zandu.biz से जुड़ता हूं , तो मुझे Chrome के अंदर एक असुरक्षित सूचना मिलती है।

मैं इसे कैसे हल करूं?

ssl  apache-2.4  lets-encrypt 
शिल्पकार
स्रोत

जवाबों:

48

यह सर्वर यह साबित नहीं कर सका कि यह www.zandu.biz है; इसका सुरक्षा प्रमाणपत्र zandu.biz से है। यह गलत कनेक्शन या आपके कनेक्शन को बाधित करने वाले हमलावर के कारण हो सकता है।

आपकी साइट के प्रमाणपत्र में नाम zandu.biz है, जो कि किसी भिन्न नाम (www.zandu.biz) के लिए मान्य नहीं है। इसके अलावा, आपके पास zandu.biz से www.zandu.biz तक एक रीडायरेक्ट है, इसलिए यदि आप नाम का उपयोग करते हैं तो प्रमाणपत्र उसके लिए मान्य है जो उस नाम के लिए पुनर्निर्देशित करता है जो यह नहीं है।

आपको दोनों नामों के साथ एक प्रमाणपत्र प्राप्त करने की आवश्यकता है ।

ZRM
स्रोत
4
वाइल्डकार्ड सर्टिफिकेट अधिक सुविधाजनक या आवश्यक हो सकता है यदि आप जिन नामों का उपयोग करना चाहते हैं, वे वास्तव में समय से पहले ज्ञात नहीं हैं। लेकिन वे आपके एक्सपोज़र को भी बढ़ाते हैं यदि संबंधित निजी कुंजी से समझौता किया जाता है क्योंकि तब हमलावर आपके डोमेन में किसी भी नाम को केवल उन लोगों के बजाय फोर्ज कर सकता है जो वास्तव में सर्वर का उपयोग कर रहे थे।
zrm
4
आइए एनक्रिप्ट एक सीए है। जब उन्होंने पहली बार शुरू किया, तो उन्हें IdenTrust द्वारा क्रॉस-साइन किया गया था, लेकिन 2020 में समाप्त होता है क्योंकि उनके स्वयं के मूल प्रमाण पत्र अब व्यापक रूप से विश्वसनीय हैं। आपकी समस्या से किसी का कोई लेना-देना नहीं है, जो किसी भी तरह से हो।
zrm
8
एस / सामान्य नाम / विषय वैकल्पिक नाम / - क्रोम सामान्य नाम का इस्तेमाल नहीं किया सब पर 2 साल के लिए; अन्य ब्राउज़र केवल तभी करते हैं यदि SAN अनुपस्थित है, जो कि 2010 से पहले सार्वजनिक सीए से किसी भी (ईई) सेर्ट्स के लिए सही नहीं है, हालांकि आप इसे टेस्ट सेर्ट्स के लिए व्यवस्थित कर सकते हैं जो आप खुद बनाते हैं। यही कारण है कि आप कई डोमेन के लिए एक प्रमाणपत्र प्राप्त कर सकते हैं - केवल सामान्य नाम का उपयोग करने वाले प्राचीन समारोह ऐसा नहीं कर सकते।
dave_thompson_085
12
@djdomi *.example.comअभी भी नंगे डोमेन को कवर नहीं करता है example.com। आपको अभी भी दो मान चाहिए SAN में।
माइकल - sqlbot
4
वाइल्डकार्ड सर्टिफिकेट से बचने का बड़ा कारण यह है कि ओपी LetsEncrypt का उपयोग कर रहा है। जबकि LetsEncrypt वाइल्डकार्ड प्रमाणपत्र का समर्थन करता है, इसके लिए DNS चुनौती की आवश्यकता होती है। DNS चुनौती को पूरा करने के लिए स्वचालित करना कठिन होता है। साथ ही, DNS चुनौती को स्वचालित करने का मतलब यह हो सकता है कि एक समझौता किया हुआ सर्वर हमलावरों को आपके DNS तक पहुंच प्रदान करेगा। इसलिए, यह UCC प्रमाणपत्र या दो प्रमाणपत्रों का उपयोग करने के लिए पर्याप्त है (जो दृष्टिकोण बहुत मायने नहीं रखता। जो भी आसान हो)।
ब्रायन
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.