Certificado SSL no válido en Chrome

9

Para el sitio web scirra.com ( haga clic para ver los resultados de la prueba del servidor SSL Labs ) Google Chrome informa el siguiente icono:

Ingrese la descripción de la imagen aquí

Es un EV SSL, y parece funcionar bien en Firefox e Internet Explorer, pero no en Chrome. ¿Cuál es la razón para esto?

Tom Gullen
fuente
En realidad, refiriéndose sitios web no es una práctica buena, tal vez si desea pagar su coste de la publicidad para la empresa ... SE
Peterh - Restablecer Monica
66
@PeterHorvath ¿No sería válido incluir el dominio para una pregunta como esta? ¿Cómo podríamos determinar la causa del problema sin investigar el certificado real? Sin embargo, sugerí una edición con el dominio en texto plano y un enlace a la Prueba de servidor SSL de Qualys.
Paul
1
@Paul Esto se debe a que solo le advertí y no hice nada más. Y ahora incluso voté su pregunta porque creo que se lo merece. Normalmente, durante las revisiones, si encontramos un enlace externo, debe examinarse si no se trata de una "joya escondida" o algo parecido. Es mucho mejor si la url proviene de un sitio conocido (imgur, jsfiddle, etc.).
peterh - Restablece a Mónica el
Me imagino que todos los navegadores en el mercado pondrán en marcha el SHA-1. Google acaba de tomar la delantera.
taco

Respuestas:

15

Lo que ves ahora no es la "barra de direcciones verde" que esperarías con un certificado EV, sino lo siguiente:

ingrese la descripción de la imagen aquí

El motivo es el siguiente anuncio en el blog de Google Online Security :

Se sabe que el algoritmo hash criptográfico SHA-1 es considerablemente más débil de lo que fue diseñado desde al menos 2005 - hace 9 años. Los ataques de colisión contra SHA-1 son demasiado asequibles para que los consideremos seguros para la PKI web pública. Solo podemos esperar que los ataques sean más baratos.

Es por eso que Chrome comenzará el proceso de puesta de sol SHA-1 (como se usa en las firmas de certificados para HTTPS) con Chrome 39 en noviembre. ... Los sitios con certificados de entidad final que vencen entre el 1 de junio de 2016 y el 31 de diciembre de 2016 (inclusive), y que incluyen una firma basada en SHA-1 como parte de la cadena de certificados, serán tratados como "seguros, pero con menor importancia errores ".

El "seguro pero con errores menores" se indica mediante la señal de advertencia en el candado y la configuración de seguridad desactualizada en el mensaje extendido es el hecho de que el certificado se basa en el algoritmo hash SHA-1.

Lo que debe hacer es lo siguiente:

Genere una nueva clave privada con un hash SHA-256 y una nueva Solicitud de firma de certificado (CSR) y haga que su proveedor SSL le vuelva a emitir un nuevo certificado. Con los certificados EV, una nueva emisión generalmente requiere más o menos los mismos aros por los que tuvo que pasar para obtener el certificado inicialmente, pero debe obtener un nuevo certificado válido hasta la misma fecha de vencimiento del certificado actual sin cargo adicional.

En openssl usarías algo como la siguiente línea de comando:

openssl req -nodes -sha256 -newkey rsa:2048 -keyout www.scirra.com.sha256.key -out www.scirra.com.sha256.csr
HBruijn
fuente
1
Noté en los resultados de la prueba del servidor SSL Labs que la firma del servidor HTTP es Microsoft-IIS / 7.5. No he usado ninguno de los productos de servidor de Microsoft, así que no estaba seguro de si su opensslcomando es una opción para este usuario.
Paul
1
No necesita generar una nueva clave. Puede obtener un nuevo certificado para su clave actual, como se muestra en la respuesta de taco. Sin embargo, no importa de ninguna manera, excepto por la grabación de unos pocos ciclos de CPU que generan números primos.
Matt Nordhoff el
10

Esto se debe al plan de extinción de Google para SHA-1 .

  • No hay preocupación de seguridad inmediata.
  • SHA-2 es el algoritmo de hash recomendado actual para SSL. No se han reportado infracciones con los certificados que usan SHA-1.
  • La visualización de indicadores de IU degradados en Chrome 39 y versiones posteriores es parte del plan de desactivación SHA-1 de Google y se aplicará a todas las Autoridades de certificación (CA).
  • La IU degradada solo será visible para los usuarios de Chrome 39 y versiones posteriores, no para versiones anteriores. Póngase en contacto con su proveedor de SSL después de que su administrador de sistemas localice su clave privada existente (en su servidor web), y realizarán una reemisión de certificado con SHA-2 de forma gratuita. Necesitará una nueva CSR.

Lo siguiente creará una nueva CSR en OSX / Linux si OpenSSL está instalado (consulte los campos de su Certificado SSL existente ya que el dominio (también conocido como "Nombre común") debe permanecer igual:

Linux / OSX:

openssl req -new -sha256 -key myexistingprivate.key -out newcsr.csr

Para Windows, vea este artículo de TechNet .

En este punto, es posible que deba ponerse en contacto con su proveedor para obtener ayuda, si no ve una opción de reemisión a través de su portal SSL. El sitio web de Comodo busca detalles sobre cómo hacer esto si no es suficiente información para usted.

Una vez que se instala el certificado SHA-2, esto eliminará el "problema" que ve en Chrome.

taco
fuente
5

Necesita el certificado SHA2 para que desaparezca. Más información sobre Puesta de sol gradual SHA-1

rumburak
fuente
2
SSL Labs informa correctamente que mi sitio web todavía tiene un certificado SHA1, pero no tiene las mismas advertencias en Chrome. Sin embargo, SSL Labs informa que scirra.com tiene muchos otros problemas, incluidos SSL 3, RC4 y sin FS. Sospecho que no se trata solo de que el certificado esté firmado con SHA1, sino también de que su fecha de vencimiento sea posterior a la de SHA1 (2016).
Paul
1
@Paul que está incluido en el enlace. Sites with end-entity certificates that expire on or after 1 January 2017, and which include a SHA-1-based signature as part of the certificate chain, will be treated as “neutral, lacking security”.
falsificador
2
Los sitios de @faker SE desaprueban las respuestas o preguntas que dependen de la información en los enlaces. Se debe incluir la información relevante. De hecho, iría tan lejos como para afirmar que esta respuesta es técnicamente incorrecta, porque el usuario podría resolver el problema utilizando un certificado SHA1 que caduque antes de 2016.
Paul
1
@Paul es justo, pero dijiste que sospechas que esa es la razón. Solo estaba aclarando ...
falsificador
3
Eche un vistazo a cómo hacen las cosas en Stack Overflow . Esa es una respuesta mucho mejor que la tuya.
Paul