Chrome의 의견으로는 여전히 A + 등급이 안전하지 않습니다.

DigitalOcean 에서 서버를 프로비저닝 하고 있으며, ssllabs에서 A + 등급을 받고 있지만,

https://www.ssllabs.com/ssltest/analyze.html?d=zandu.biz

https://www.zandu.biz 또는 https://zandu.biz 사이트에 연결하면 Chrome 내부에 안전하지 않은 알림이 표시됩니다.

이 문제를 어떻게 해결합니까?

ssl apache-2.4 lets-encrypt

— 건축가
소스

이 서버는 www.zandu.biz임을 증명할 수 없습니다. 보안 인증서는 zandu.biz에서 제공합니다. 구성이 잘못되었거나 공격자가 연결을 가로 채기 때문일 수 있습니다.

사이트 인증서의 이름은 zandu.biz이며 다른 이름 (www.zandu.biz)에는 유효하지 않습니다. 또한 zandu.biz에서 www.zandu.biz로 리디렉션되므로 이름을 사용하면 인증서가 유효하지 않은 이름으로 리디렉션됩니다.

당신이 필요로하는 것은 두 이름을 가진 인증서 를 얻는 것 입니다.

— zrm
소스

사용하려는 이름을 실제로 미리 알 수없는 경우 와일드 카드 인증서가 더 편리하거나 필요할 수 있습니다. 그러나 연결된 개인 키가 손상되면 공격자가 서버에서 실제로 사용한 이름이 아닌 도메인의 이름을 위조 할 수 있기 때문에 노출이 증가합니다.

— zrm

암호화하자 CA입니다. 그들이 처음 시작했을 때 IdenTrust에 의해 크로스 서명 되었지만 2020 년에 종료되었습니다. 이제 자신의 루트 인증서가 널리 신뢰되기 때문입니다. 그 중 어느 것도 문제와 관련이 없으며 어느 쪽이든 동일합니다.

— zrm

s / 일반 이름 / 제목 대체 이름 / -Chrome은 2 년 동안 일반 이름 을 전혀 사용하지 않았습니다 . SAN이없는 경우에만 다른 브라우저가 사용합니다. 2010 년 이전부터 공용 CA의 (EE) 인증서에는 해당되지 않았지만 직접 만든 테스트 인증서에 대해 정렬 할 수는 있습니다. 그렇기 때문에 여러 도메인에 대해 하나의 인증서를 얻을 수 있는 이유는 무엇입니까? 공통 이름 만 사용하는 고대 인증서는 그렇게 할 수 없었습니다.

— dave_thompson_085

@djdomi에 대한 와일드 카드 인증서는 *.example.com여전히 베어 도메인을 다루지 않습니다 example.com. SAN에는 여전히 두 개의 값이 필요합니다.

— Michael-sqlbot

와일드 카드 인증서를 피해야하는 가장 큰 이유는 OP가 LetsEncrypt를 사용하고 있기 때문입니다. LetsEncrypt는 와일드 카드 인증서를 지원하지만 DNS 챌린지가 필요합니다. DNS 챌린지를 만족시키는 것은 자동화하기가 더 어렵습니다. 또한 DNS 챌린지를 자동화하면 손상된 서버가 공격자에게 DNS에 대한 액세스 권한을 부여 할 수 있습니다. 따라서 UCC 인증서 또는 두 개의 인증서를 사용하는 것으로 충분합니다 (접근 방식은 중요하지 않습니다. 더 쉬운 방법 중 하나).

— Brian