web-dev-qa-db-ja.com

Chrome 1台のコンピューターで、証明書が無効/安全でないと表示されるのはなぜですか?

StartSSLからサイト用のワイルドカードドメイン証明書を持っています( https://later.webblocks.nl/ )。

自宅のPCのブラウザで確認すると、問題ありません。 (Chromeでは緑の錠前。)仕事用のPCでChrome=)で確認すると、うまくいきません。

later.webblocks.nl SSL error on Chrome

ページは問題なくロードされます。他のリクエストはないため、HTTPを介したものはありません。安全なプロトコルなどを使用しています。接続を SSL Labs および Global Sign で確認したところ、完全に安全であることに同意しました。

同じコンピューター上では、他のブラウザーでも問題ありません。他のコンピュータでは、Chromeでも問題ありません。再起動、キャッシュのフラッシュ、シークレットモードなどを試しました。何も変わりません。

安全であることはわかっているので、私には本当の問題はありませんが、それでも迷惑です。

何か案は?

PS。 Chrome Windows XPで先ほどこのようなことをしました:Windowsプロトコルが安全ではなかったため、Webサイトは突然「安全でなくなりました」。両方のPCはWindows 7であり、同じバージョンのChromeであるため、おそらくそうではありません...

詳細:

何らかの理由で、2台のコンピューターに異なる証明書チェーンがあります。ドメイン証明書とルート証明書は同じですが、仲介者が異なります。自宅のPCではsha2を使用し、職場のPCではsha1を使用します。仲介者はサーバー証明書(sha2が含まれています)に含まれているため、奇妙です。すべてのSSLチェッカーは、sha2中間証明書のみを検出します。どうしたの!?

4
Rudie

その理由はStartCOMのフォーラムで説明されています。

https://forum.startcom.org/viewtopic.php?f=15&t=15929&p=21716

そして、Chromeの場合:

https://code.google.com/p/chromium/issues/detail?id=473105

確かにSHA1です。

WindowsまたはChromeの証明書キャッシュが原因です。それら(古い中間証明書と新しい中間証明書)は同じ名前であるため、クライアントはキャッシュされたバリアントを使用します。名前付けはStartCOMの責任です。悪いキャッシュはWindowsかChromeのせいです。彼らはそれを修正するために一生懸命働いていません。

SSLチェッカーは、キャッシュされた何かを使用しないため、同じ問題はありません。

キャッシュがローカルであるため、コンピューターによって結果は異なります。

StartComフォーラムの(非常に具体的なローカル)ソリューションは私にとっては機能します。ローカルキャッシュから証明書をクリアして、新しい証明書の再ダウンロードをトリガーしますが、他のすべてのユーザーに対するソリューションではありません。 (私の場合はほんの少しなので、問題ありません。)

12
Rudie

これは SHA-1の廃止 に関係している可能性があると思います。今年の初めに、GoogleはChrome 41ブラウザを変更しました。したがって、2017年1月1日以降に有効期限が切れ、SHA1ベースの証明書チェーンの一部としての署名は、「積極的に安全でない」として扱われます 'SHA1を使用する信頼されたルート証明書は影響を受けません。クライアントは、IDの目的でそれらを信頼し、これは、署名アルゴリズムの強さのためではありません。これは、上記のリンクからの直接の引用でした。

証明書を確認しました-有効期限は2017年1月1日で、ドメインの証明書はSHA-2を使用して署名されていますが、使用している「StartCom Class 2 Primary Intermediate Server CA」の中間チェーン証明書はSHA-1署名アルゴリズムを使用しています。中間体も2017年1月1日を過ぎると有効期限が切れます。

4
Daniel t.

申し訳ありませんが、コメントとして追加されましたが、担当者が不足しています。ここを参照してください: https://security.stackexchange.com/questions/52834/what-exactly-does-it-mean-when-chrome-reports-a-certificate-does-not-have-publi =

0
DuplicateMe