证书过期和SHA-1

时间:2017-06-01 14:47:06

标签: amazon-web-services ssl certificate

背景:在证书方面,我是一个完全新手。

我们的网站正在https://global.projacked.com

运行

证书由AWS发布。

一切都适用于大多数客户,但......

其中一位正在经历以下情况: enter image description here

enter image description here

enter image description here

当我点击“查看证书”时,我看到: enter image description here

所以问题是:我们可以做任何事情来完成这项工作吗?

如果没有:我可以告诉我的客户做些什么来使其发挥作用?这是他们更新证书的问题吗?或者它可能是因为它们处于安全网络(例如VPN)中?

非常感谢您的帮助

2 个答案:

答案 0 :(得分:1)

您的网站global.projacked.com正在投放valid SHA-256 certificate。报告此问题的客户似乎正在通过某种MITM软件或设备拦截并检查其HTTPS流量(发卡行 - apotex-CA - 在他们看到的证书上将其丢弃)。 MITMing实体正在生成一个受客户浏览器信任的证书,但它恰好是一个导致Chrome投诉的SHA-1证书。

你无法解决他们的问题。许多MITM软件供应商已经发布了创建SHA-256证书的更新,以避免出现这种情况。他们可能会检查是否有可以安装生成SHA-256证书的更新,或者阅读thisthis以查看他们是否确实需要拦截和检查TLS流量。可悲的是,我已经看到组织所在的"解决方案"解决此问题的方法是安装不关心SHA-1证书的旧版Chrome,并禁用自动更新。毕竟,把头埋在沙子里非常善于阻挡这个叫安全的小东西的噪音。

答案 1 :(得分:0)

证书颁发者应该能够在SHA-256下颁发证书。然后,您需要更换服务器上的证书。

某些证书颁发机构可以将新证书作为旧证书的重新颁发,有些证书颁发机构将要求CSR(证书签名请求)可以基于现有的私钥构建,该私钥也可能驻留在服务器上。 / p>