SHA-1 Chrome должен соответствовать OpenSSL?
Если я сравниваю SHA-1, показанный для сертификата для https://0000.jp в Chrome:
79 72 28 12 74 83 85 DE 3C B0 DE E7 A4 C3 14 BE B4 93 79 6E
с представленным OpenSSL:
$ echo -n | openssl s_client -connect 0000.jp:443 2>/dev/null | openssl x509 -noout -fingerprint
SHA1 Fingerprint=79:72:28:12:74:83:85:DE:3C:B0:DE:E7:A4:C3:14:BE:B4:93:79:6E
затем я получаю то же значение.
Если я делаю то же для https://google.co.uk затем шоу Chrome:
06 4B 11 0D 63 4A 83 E2 6B 1A 12 19 EC 04 46 F3 7C 3A 01 D7
в то время как OpenSSL показывает:
$ echo -n | openssl s_client -connect google.co.uk:443 2>/dev/null | openssl x509 -noout -fingerprint
SHA1 Fingerprint=3F:6D:D9:AB:60:92:1E:EE:D3:4C:C7:36:04:49:B2:FA:F9:E5:2D:92
Нет никаких предупреждений в Chrome, и я предполагаю, что NSA/русские/Северная Корея не настолько вероятно ответственный как ошибка с моей стороны... поэтому, какова причина различия?
Это разные сертификаты. Google, по каким-либо техническим и административным причинам, использует множество разных SSL-сертификатов из разных источников.
Скорее всего, ваши два теста попали на два разных сервера Google. У них много серверов с различными методами балансировки нагрузки, поэтому запросы не всегда отправляются на один и тот же сервер.
Попытка обоих методов просмотра сертификата путем подключения к одному IP-адресу вместо домена может сделать их оба подключаются к одному серверу и показывают один и тот же хэш.
Пока оба сертификата действительны, не показывают никаких предупреждений и исходят от известных центров сертификации, все в порядке. Не о чем беспокоиться.