Chrome最新测试版更新：SSL证书警告

Question

更新为 Google Chrome版本39测试版 green lock后，我的部分https个连接（由我托管的域名）已变为一个yellow triangle就可以了。

点击其他详细信息时，会返回以下消息/警告：

证书是最新的，有效期至 2018年，并且在所有其他浏览器中正确显示（绿色），包括Chrome版本38。

最近没有任何内容被调整/更改，无论是Apache服务器还是SSL证书。

Chrome上有些内容已经更改但是

如何修复以防止出现问题？

Answer 1

SHA-1 Sunsetting，Google和您接下来的步骤。

谷歌最近宣布，与微软的计划形成鲜明对比的是，他们正在实施自己的SHA-1落日时间表，该时间表将于2014年9月26日开始。

<强>为什么吗

首先，让我们了解SHA-1的作用。 SHA-1及其后续版本SHA-2都是特定类型的签名算法。签名算法用作SSL证书执行的身份验证角色的一部分。它们是数学函数（称为＆＃34; hash＆＃34;），在执行时，应为每个文件计算持久且唯一的值。因此，例如，存储此文本的Word文档具有唯一的SHA-1哈希值。如果我更改此文件的单个部分 - 在某处添加额外的句点，更改字母等 - 它将生成不同的SHA-1哈希值。

当证书从服务器下载到客户端的浏览器时，会对其进行哈希处理。所采用的哈希类型（SHA-1，SHA-2，MD5等）取决于证书的签名方式。将浏览器计算的哈希值与服务器提供的哈希值进行比较，该哈希值已在颁发时由证书颁发机构（CA）验证。如果匹配，则验证证书和服务器的身份。

这是什么时候发生的？

Google的政策涉及三个不同的步骤，第一步从 9月26日开始。在此日期，只有2017年签署的SHA-1签署证书的客户才会受到影响。但是，受影响的证书数量将在11月扩展，并在2015年第1季度再次出现。有关哪些证书受影响的详细信息，请参阅以下部分，＆＃34; The Nitty Gritty。＆＃34 ;

哪些证书受到影响？

如果证书符合以下任何条件，则会受到影响：

• 来自RapidSSL或QuickSSL系列的所有证书于2014年9月15日之前发布，并于2016年1月31日之后到期（它们由SHA-1中级签署）。
• 如果他们使用SHA-1签名并在2016年1月1日之后过期。
• 他们拥有一个SHA-1签名证书的中间证书链。 要了解受影响的确切证书，请参阅下面的部分，其中给出了明确的详细信息。

2014年9月26日 SHA-1签署的证书在2017年1月1日当天或之后到期将被视为＆＃34;安全，但有轻微错误＆＃34;并将收到黄色三角形挂锁。

2014年11月7日 SHA-1签署的证书将于2016年6月1日至2016年12月31日期间或之后到期，如上所述。 2017年1月1日之后到期的证书被视为＆＃34;中性，缺乏安全性。＆＃34;这些证书将收到一个空白页面图标，如HTTP会话所示。

2015年第一季度 SHA-1签署的证书将于2016年1月1日至2016年12月31日期间或之后到期，将继续被视为＆＃34;安全，但有轻微错误。 ＆＃34;在2017年1月1日或之后到期的SHA-1签署证书被视为＆＃34;肯定不安全。＆＃34;这将由红色＆＃34; X＆＃34;标识。

---

问题是如何解决的？

可以通过重新签发来修复受影响的证书（除了需要重新发行之外，不存在任何其他情况）。由于Google的新政策，我们的合作伙伴CA加快了SHA-2兼容基础架构的实施。

我需要做什么？

如果您的证书是SHA-1，则需要执行以下操作：

1. 将证书重新签发给SHA-2

除了上面的步骤，您可能还需要：

1. 安装新推出的SHA-2中级证书 。

如果您的证书是SHA-1，则很可能 它也是由SHA-1中级 签署的。重新颁发证书时，它将由SHA-2 Intermediate签名，该中间件也必须安装到您的服务器上。当您收到新证书时，这些内容将被提供或链接到您。

  

<强> Check your site for weak SHA-1 certificates

     

<强> SSL Server Test

     

<强> SHA1 Deprecation: What You Need to Know