Почему Chrome на 1 компьютере сообщает, что мой сертификат недействителен / небезопасен? [дубликат]
На этот вопрос уже есть ответ здесь:
У меня есть сертификат домена с подстановочными знаками от StartSSL для сайта ( https://later.webblocks.nl/ ).
Когда я проверяю это в любом браузере на своем домашнем компьютере, все в порядке. (Зеленый замок в Chrome.) Когда я проверяю его в Chrome на своем рабочем компьютере, это нехорошо:
Страница загружается без проблем. Других запросов нет, значит, ничего по HTTP. Он использует безопасные протоколы и т. Д. Я проверил соединение в SSL Labs и Global Sign , и они согласились, что это совершенно безопасно.
На том же компьютере это нормально с другими браузерами. На других компьютерах Chrome тоже с этим справляется. Пробовал перезагружать, очищать кеши, режим инкогнито и т. Д. Ничего не меняется.
Для меня это не проблема, потому что я знаю, что это безопасно, но все равно раздражает.
Есть идеи?
PS. Некоторое время назад Chrome сделал нечто подобное с Windows XP: внезапно веб-сайты стали «небезопасными» из-за небезопасных протоколов Windows. На обоих компьютерах установлена Windows 7 и одна и та же версия Chrome, так что, вероятно, это не так ...
Дополнительная информация:
По какой-то причине на двух компьютерах разные цепочки сертификатов.Сертификат домена и корневой сертификат одинаковы, но посредник отличается. На моем домашнем ПК он использует sha2, на моем рабочем ПК - sha1. Посредник включен в сертификат сервера (у которого есть sha2), так что это странно. Все средства проверки SSL обнаруживают только промежуточный сертификат sha2. Что происходит!?
Причина объяснена на форуме StartCOM:
https://forum.startcom.org/viewtopic.php?f=15&t=15929&p=21716
И в Chrome:
https://code.google.com/p/chromium/issues/detail?id=473105
Это действительно SHA1.
Это связано с кешем сертификатов Windows или Chrome. Поскольку они (старый и новый промежуточные сертификаты) имеют одинаковое имя, клиент будет использовать кешированный вариант, который может быть старым и SHA1. В названии виноват StartCOM. Плохое кеширование - это вина Windows или Chrome. Они не очень стараются это исправить.
У проверок SSL нет такой проблемы, потому что они не используют кэшированные что-либо .
На разных компьютерах результаты разные, потому что кеш является локальным.
Для меня работает (очень конкретное, локальное) решение на форуме StartCom: очистить сертификат из локального кеша, чтобы запустить повторную загрузку нового сертификата, но на самом деле это не решение для всех остальных пользователей. (В моем случае только несколько, так что нет проблем.)
Я считаю, что это может быть связано с устареванием SHA-1 . В начале этого года Google внесла изменения в свой браузер Chrome 41. Соответственно, «сайты с сертификатами конечных объектов, срок действия которых истекает 1 января 2017 года или позже, и которые включают подпись на основе SHA1 как часть цепочки сертификатов , будут рассматриваться как «явно небезопасные». На доверенные корневые сертификаты, использующие SHA1, это не влияет. Клиенты доверяют им в целях идентификации, а не из-за надежности их алгоритма подписи ». Это прямая цитата из приведенной выше ссылки.
Я проверил ваш сертификат - он истекает после 01/2017, и хотя сертификат для вашего домена был подписан с использованием SHA-2, сертификат промежуточной цепочки для первичного промежуточного сервера StartCom Class 2 CA ', который вы используете, использует алгоритм подписи SHA-1. Промежуточное звено также истекает после 01/2017.
Простите, добавил бы в качестве комментария, но недостаточно репутации. Глянь сюда: https://security.stackexchange.com/questions/52834/what-exactly-does-it-mean-when-chrome-reports-a-certificate-does-not-have-publi