Chrome에서 유효하지 않은 SSL 인증서


9

scirra.com 웹 사이트 ( SSL Labs Server 테스트 결과를 보려면 클릭 )의 경우 Chrome에서 다음 아이콘을보고합니다.

여기에 이미지 설명을 입력하십시오

EV SSL이며 Firefox 및 Internet Explorer에서는 잘 작동하지만 Chrome에서는 제대로 작동하지 않는 것 같습니다. 그 이유는 무엇입니까?


실제로, 웹 사이트를 추천하는 것은 좋은 습관이 아닙니다. 아마도 광고 비용을 SE 회사에 지불한다면 ...
peterh-Reinstate Monica

6
@PeterHorvath 이와 같은 질문에 대한 도메인을 포함하는 것이 유효하지 않습니까? 실제 인증서를 조사하지 않고 문제의 원인을 어떻게 확인할 수 있습니까? 그럼에도 불구하고, 나는 일반 텍스트로 된 도메인과 Qualys SSL Server Test에 대한 링크를 편집 할 것을 제안했습니다.
Paul

1
@Paul 이것은 단지 그에게 경고하고 다른 것을하지 않았기 때문입니다. 그리고 이제는 그의 질문에 답할 필요가 있습니다. 일반적으로 검토 중에 외부 링크를 찾으면 "숨겨진 보석"이 아닌지 여부를 검사해야합니다. URL이 알려진 사이트 (imgur, jsfiddle 등)에서 오는 것이 훨씬 좋습니다.
peterh-Reinstate Monica


나는 시장의 모든 브라우저가 SHA-1을해질 것이라고 생각합니다. 구글은 방금 주도했다.
taco

답변:


15

이제 보이는 것은 EV 인증서로 예상되는 "녹색 주소 표시 줄"이 아니라 다음과 같습니다.

여기에 이미지 설명을 입력하십시오

그 이유는 Google Online Security 블로그 에 다음과 같은 공지가 있기 때문입니다 .

SHA-1 암호화 해시 알고리즘은 9 년 전인 2005 년 이후로 설계된 것보다 상당히 약한 것으로 알려져 있습니다. SHA-1에 대한 충돌 공격은 공개 웹 PKI에 안전하다고 생각하기에는 너무 저렴합니다. 우리는 공격이 더 저렴해질 것으로 예상 할 수 있습니다.

그렇기 때문에 Chrome이 11 월 Chrome 39에서 SHA-1 (HTTPS의 인증서 서명에 사용됨)을 일몰 처리하는 프로세스를 시작합니다. ... 2016 년 6 월 1 일부터 2016 년 12 월 31 일 사이에 만료되고 인증서 체인의 일부로 SHA-1 기반 서명을 포함하는 최종 엔터티 인증서가있는 사이트는 "안전하지만 미미한 사이트"로 취급됩니다 오류”.

"안전하지만 약간의 오류가있는"은 자물쇠에 경고 표시로 표시되며 확장 메시지의 오래된 보안 설정은 인증서가 SHA-1 해시 알고리즘에 의존한다는 사실입니다.

당신이해야 할 일은 다음과 같습니다

SHA-256 해시와 새로운 CSR (Certificate Signing Request)을 사용하여 새 개인 키를 생성하고 SSL 공급자가 새 인증서로 사용자를 다시 발급하도록합니다. EV 인증서를 사용하면 일반적으로 재발급시 처음에 인증서를 얻기 위해 건너 뛰어야하는 동일한 후프가 필요하지만 추가 비용없이 거의 현재 인증서와 동일한 만료일까지 유효한 새 인증서를 받아야합니다.

openssl에서는 다음 명령 줄과 같은 것을 사용합니다.

openssl req -nodes -sha256 -newkey rsa:2048 -keyout www.scirra.com.sha256.key -out www.scirra.com.sha256.csr

1
SSL Labs Server Test Results 에서 HTTP 서버 서명이 Microsoft-IIS / 7.5임을 알았습니다 . Microsoft 서버 제품을 사용하지 않았으므로이 사용자에게 openssl명령이 옵션 인지 확실하지 않았습니다 .
Paul

1
새 키를 생성 할 필요 가 없습니다 . taco의 답변에 표시된 것처럼 현재 키에 대한 새 인증서를 얻을 수 있습니다. 소수를 생성하는 몇 개의 CPU 사이클을 태우는 것을 제외하고는 어느 쪽이든 중요하지 않습니다.
매트 노르 호프

10

이것은 SHA-1에 대한 Google의 일몰 계획 때문입니다 .

  • 즉각적인 보안 문제는 없습니다.
  • SHA-2는 현재 SSL에 권장되는 해싱 알고리즘입니다. SHA-1을 사용한 인증서 위반은보고되지 않았습니다.
  • Chrome 39 이상에서 저하 된 UI 표시기 표시는 Google SHA-1 지원 중단 계획의 일부이며 모든 인증 기관 (CA)에 적용됩니다.
  • 성능이 저하 된 UI는 이전 버전이 아닌 Chrome 39 이상 사용자 만 볼 수 있습니다. sysadmin이 웹 서버에서 기존 개인 키를 찾도록 한 후 SSL 공급 업체에 문의 하면 SHA-2로 인증서 재발급을 무료로 수행합니다. 새로운 CSR이 필요합니다.

다음은 OpenSSL이 설치된 경우 OSX / Linux에서 새 CSR을 생성합니다 (도메인 ( "일반 이름")이 동일하게 유지되어야하므로 기존 SSL 인증서 필드 참조).

리눅스 / OSX :

openssl req -new -sha256 -key myexistingprivate.key -out newcsr.csr

Windows의 경우이 TechNet 기사를 참조하십시오 .

이 시점에서 SSL 포털을 통해 재발행 옵션이 표시되지 않으면 공급 업체에 도움을 요청해야 할 수도 있습니다. Comodo의 웹 사이트는 정보가 충분하지 않은 경우이를 수행하는 방법을 자세히 보여줍니다.

SHA-2 인증서가 설치되면 Chrome에 표시되는 '문제'가 제거됩니다.


5

사라지게하려면 SHA2 인증서가 필요합니다. 점차적으로 Sunsetting SHA-1에 대한 추가 정보


2
SSL Labs는 내 웹 사이트에 여전히 SHA1 인증서가 있다고 올바르게보고 하지만 Chrome에서는 동일한 경고가 없습니다. 그러나 SSL Labs는 scirra.com에 SSL 3, RC4 및 FS 없음을 포함하여 많은 다른 문제가 있다고보고합니다 . 인증서가 SHA1을 사용하여 서명 된 것뿐만 아니라 만료 날짜가 SHA1 일몰 이후 (2016) 인 것 같습니다.
Paul

1
링크에 포함 된 @Paul. Sites with end-entity certificates that expire on or after 1 January 2017, and which include a SHA-1-based signature as part of the certificate chain, will be treated as “neutral, lacking security”.
faker

2
@faker SE 사이트는 링크의 정보에 의존하는 답변이나 질문에 눈살을 찌푸립니다. 관련 정보가 포함되어야합니다. 사실,이 답변이 기술적으로 부정확하다고 말하면 사용자 2016 년 전에 만료되는 SHA1 인증서를 사용하여 문제를 해결할 있기 때문입니다 .
Paul

1
@Paul 공정한, 그러나 당신은 이것이 이유라고 생각한다고 말했다. 나는 단지 명확하게했다 ...
faker

3
Stack Overflow 에서 어떻게 작동하는지 살펴보십시오 . 그것은 당신보다 훨씬 더 나은 대답입니다.
Paul
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.