背景:在证书方面,我是一个完全新手。
我们的网站正在https://global.projacked.com
运行证书由AWS发布。
一切都适用于大多数客户,但......
所以问题是:我们可以做任何事情来完成这项工作吗?
如果没有:我可以告诉我的客户做些什么来使其发挥作用?这是他们更新证书的问题吗?或者它可能是因为它们处于安全网络(例如VPN)中?
非常感谢您的帮助
答案 0 :(得分:1)
您的网站global.projacked.com
正在投放valid SHA-256 certificate。报告此问题的客户似乎正在通过某种MITM软件或设备拦截并检查其HTTPS流量(发卡行 - apotex-CA
- 在他们看到的证书上将其丢弃)。 MITMing实体正在生成一个受客户浏览器信任的证书,但它恰好是一个导致Chrome投诉的SHA-1证书。
你无法解决他们的问题。许多MITM软件供应商已经发布了创建SHA-256证书的更新,以避免出现这种情况。他们可能会检查是否有可以安装生成SHA-256证书的更新,或者阅读this或this以查看他们是否确实需要拦截和检查TLS流量。可悲的是,我已经看到组织所在的"解决方案"解决此问题的方法是安装不关心SHA-1证书的旧版Chrome,并禁用自动更新。毕竟,把头埋在沙子里非常善于阻挡这个叫安全的小东西的噪音。
答案 1 :(得分:0)
证书颁发者应该能够在SHA-256下颁发证书。然后,您需要更换服务器上的证书。
某些证书颁发机构可以将新证书作为旧证书的重新颁发,有些证书颁发机构将要求CSR(证书签名请求)可以基于现有的私钥构建,该私钥也可能驻留在服务器上。 / p>