startssl 的 CA 是 sha1 签名的，所以在最新版的 chrome 中被认为不安全了

2015-08-15 01:59:09 +08:00

lyragosa

刚从startssl官网重新拉了一次证书链发现还是sha1。不过签给我的证书是sha2没错……

绿锁变黄了，有啥解决办法么？比如更新系统里面的CA啥的？

4491 次点击

所在节点

SSL

12 条回复

TheJuli

2015-08-15 04:42:23 +08:00

配置证书的时候不要把顶级那个 Root CA 贴进去试试?

shierji

2015-08-15 06:40:41 +08:00

不介意的话可以先用wosign

xiaopc

2015-08-15 08:07:35 +08:00

http://www.startssl.com/certs/ca-sha2.pem

lyragosa

2015-08-15 11:31:14 +08:00

@TheJuli 无论用不用ROOT的CA，都显示有两级证书链然后都是sha1

@xiaopc 这个用了也不好使……估计浏览器调用了系统的CA？

xiaopc

2015-08-15 11:54:48 +08:00

@lyragosa chrome有SSL缓存。

https://ooo.0o0.ooo/2015/08/15/55ceb76559cc9.png

https://www.ssllabs.com/ssltest/analyze.html?d=www.linodas.com&s=106.185.55.152

lyragosa

2015-08-15 12:15:46 +08:00

@lyragosa 感谢，不过强迫症看起来好不爽……
我看看如何更新这缓存……

gonghao

2015-08-15 13:18:38 +08:00

我的 AlphaSSL 的 CA 也是 sha1 然后同样 chrome 下红两道杠

imlonghao

2015-08-15 13:36:39 +08:00

@gonghao 应该可以更新你crt里面的上级证书的。

gonghao

2015-08-15 14:14:28 +08:00

@imlonghao 我去 GlobalSign 看了，AlphaSSL 用的是 GlobalSign CA - R1 那个只有 sha1 直接无奈~~而且也没发现 AlphaSSL 有更新的计划……

xiaopc

2015-08-15 17:28:09 +08:00

@gonghao chrome 44.0.2403.155 打开你的博客是绿锁啊…

xiaopc

2015-08-15 18:12:16 +08:00

@gonghao Chrome 不会检查根证书是否是 SHA1 的...
https://community.qualys.com/blogs/securitylabs/2014/09/09/sha1-deprecation-what-you-need-to-know

gonghao

2015-08-16 12:58:17 +08:00

@xiaopc 我是 Version 46.0.2478.0 dev (64-bit) 红杠~

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/213326

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.