[英]Chrome latest beta update: SSL certificate warning
将我的某些https
连接(由我托管的域)更新为Google Chrome版本39 beta green lock
,它变成了带有yellow triangle
的那个。
单击以获取更多详细信息时,它将返回以下消息/警告 :
该证书是最新的,有效期至2018年末,并在所有其他浏览器(包括Chrome直至38
版本)中正确显示(绿色)。
最近在Apache服务器和SSL证书上都没有进行任何调整/更改。
事情已经改变了Chrome,但什么 , 为什么 ?
如何修复它以防止可能的问题?
SHA-1 Sunsetting,Google和您的下一步。
Google最近宣布与微软的计划形成鲜明对比,宣布他们将实施自己的SHA-1退出时间表,该时间表将于2014年9月26日开始。
为什么?
首先,让我们了解SHA-1的功能。 SHA-1及其后续版本SHA-2都是特定类型的签名算法。 签名算法用作SSL证书执行的身份验证角色的一部分。 它们是数学函数(称为“哈希”),在执行时应为每个文件计算一个持久且唯一的值。 因此,例如,存储此文本的Word文档具有唯一的SHA-1哈希值。 如果我更改此文件的单个部分–在某处添加一个额外的句点,更改字母,等等–它会产生不同的SHA-1哈希值。
将证书从服务器下载到客户端的浏览器时,将对其进行哈希处理。 散列的类型(SHA-1,SHA-2,MD5等)取决于证书的签名方式。 将浏览器计算出的哈希值与服务器提供的哈希值进行比较,该值在颁发时已由证书颁发机构(CA)验证。 如果它们匹配,则验证证书和服务器的身份。
什么时候发生?
Google的政策涉及三个不同的步骤,第一步从9月26日开始。 在此日期,仅具有SHA-1签名证书的客户在2017年到期。 但是,受影响证书的数量将在11月或2015年第一季度再次增加。有关受证书影响的详细信息,请参见下面的“坚韧不拔”部分。
哪些证书受到影响?
如果证书符合以下任一条件,则它们将受到影响:
2014年9月26日在2017年1月1日或之后到期的SHA-1签名证书将被视为“安全,但有小错误”,并将获得黄色三角形挂锁。
自2014年11月7日起 ,在2016年6月1日或之后至2016年12月31日之间到期的SHA-1签名证书将按上述方式处理。 在2017年1月1日之后过期的证书被视为“中性,缺乏安全性”。 这些证书将收到一个空白页图标,如HTTP会话所示。
在2015年第一季度 ,在2016年1月1日或之后至2016年12月31日到期的SHA-1签名证书将继续被视为“安全,但有小错误。”在2017年1月1日或之后到期的SHA-1签名证书被视为“肯定不安全”。 这将由红色的“ X”标识。
问题如何解决?
受影响的证书可以通过重新签发来解决(在任何情况下都不需要重新签发)。 由于Google的新政策,我们的合作伙伴CA已加快了SHA-2兼容基础架构的实施。
我需要做什么?
如果您的证书是SHA-1,则需要执行以下操作:
除了上述步骤,您可能还需要:
如果您的证书是SHA-1,则很可能也是SHA-1中级签署的 。 重新颁发证书时,它将由SHA-2中级证书签名,该证书也必须安装到您的服务器上。 当您收到新证书时,将提供这些信息或将其链接到您。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.