站点使用 SHA-2,但 Chrome 仍然警告弱 SHA-1
Site uses SHA-2 but Chrome still warns about weak SHA-1
我有多个使用 SSL 保护的站点。全部来自同一提供商。在一个域 Chrome 说:
This site uses a weak security configuration (SHA-1 signatures), so
your connection may not be private.
我用 ssllabs.com 测试了域,我得到了 A。还用 shaaaaaaaaaaaaa.com 进行了测试,它说,我的域有一个用 SHA-2 签名的可验证证书链。
这是我在 Apache2 中的 SSL 设置:
SSLEngine on
SSLProtocol all -SSLv3 -SSLv2
SSLHonorCipherOrder On
SSLInsecureRenegotiation off
SSLCipherSuite "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA"
SSLCertificateFile /etc/ssl/certs/xxxcert.cert
SSLCertificateKeyFile /etc/ssl/private/xxxkey.key
SSLCertificateChainFile /etc/ssl/certs/sub.class1.server.ca.pem
我的 error.log 中没有任何错误。有人可以帮助我,我应该在哪里继续调试?
问题很可能是链中向上的证书使用的是 SHA1,而您自己的证书使用的是 SHA2。我的建议是看看您是否可以找到使用 SHA2 的链文件的更新版本。
鉴于 Google announced this in September 2014,您可能认为任何信誉良好的证书颁发机构现在都会提供安全链文件。
您可以在此处找到有关此特定问题的更多信息:Why Chrome Thinks your SHA-2 Certificate Chain is "Affirmatively Insecure"
有关 Google 为何停用 SHA1 的更多信息,请参见此处:Why Google is Hurrying the Web to Kill SHA-1。
我有多个使用 SSL 保护的站点。全部来自同一提供商。在一个域 Chrome 说:
This site uses a weak security configuration (SHA-1 signatures), so your connection may not be private.
我用 ssllabs.com 测试了域,我得到了 A。还用 shaaaaaaaaaaaaa.com 进行了测试,它说,我的域有一个用 SHA-2 签名的可验证证书链。
这是我在 Apache2 中的 SSL 设置:
SSLEngine on
SSLProtocol all -SSLv3 -SSLv2
SSLHonorCipherOrder On
SSLInsecureRenegotiation off
SSLCipherSuite "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA"
SSLCertificateFile /etc/ssl/certs/xxxcert.cert
SSLCertificateKeyFile /etc/ssl/private/xxxkey.key
SSLCertificateChainFile /etc/ssl/certs/sub.class1.server.ca.pem
我的 error.log 中没有任何错误。有人可以帮助我,我应该在哪里继续调试?
问题很可能是链中向上的证书使用的是 SHA1,而您自己的证书使用的是 SHA2。我的建议是看看您是否可以找到使用 SHA2 的链文件的更新版本。
鉴于 Google announced this in September 2014,您可能认为任何信誉良好的证书颁发机构现在都会提供安全链文件。
您可以在此处找到有关此特定问题的更多信息:Why Chrome Thinks your SHA-2 Certificate Chain is "Affirmatively Insecure"
有关 Google 为何停用 SHA1 的更多信息,请参见此处:Why Google is Hurrying the Web to Kill SHA-1。