Xếp hạng + vẫn không an toàn theo ý kiến ​​của Google Chrome

10

Tôi đang cung cấp máy chủ của mình trên DigitalOcean và mặc dù tôi đang nhận được xếp hạng A + từ ssllabs,

https://www.ssllabs.com/ssltest/analyze.html?d=zandu.biz

khi tôi kết nối với trang web của mình, https://www.zandu.biz hoặc https://zandu.biz , tôi nhận được thông báo không an toàn trong Chrome.

Tôi giải quyết điều này như thế nào?

ssl  apache-2.4  lets-encrypt 
Kiến trúc sư
nguồn

Câu trả lời:

48

Máy chủ này không thể chứng minh rằng đó là www.zandu.biz; chứng chỉ bảo mật của nó là từ zandu.biz. Điều này có thể do cấu hình sai hoặc kẻ tấn công chặn kết nối của bạn.

Tên trong chứng chỉ trang web của bạn là zandu.biz, không hợp lệ cho một tên khác (www.zandu.biz). Hơn nữa, bạn có một chuyển hướng từ zandu.biz đến www.zandu.biz, vì vậy nếu bạn sử dụng tên thì chứng chỉ hợp lệ cho nó chuyển hướng đến tên mà nó không có.

Những gì bạn cần là để có được một chứng chỉ với cả hai tên .

zrm
nguồn
4
Chứng chỉ ký tự đại diện có thể thuận tiện hơn hoặc cần thiết hơn nếu tên bạn định sử dụng không thực sự được biết trước. Nhưng chúng cũng làm tăng mức độ hiển thị của bạn nếu khóa riêng được liên kết bị xâm phạm vì sau đó kẻ tấn công có thể giả mạo bất kỳ tên nào trong miền của bạn thay vì chỉ những tên mà máy chủ thực sự đang sử dụng.
zrm
4
Hãy mã hóa là một CA. Khi mới bắt đầu, họ đã được IdenTrust ký hợp đồng chéo nhưng điều đó kết thúc vào năm 2020 vì chứng chỉ gốc của họ hiện được tin cậy rộng rãi. Không ai trong số đó có bất cứ điều gì liên quan đến vấn đề của bạn, điều này cũng sẽ giống như vậy.
zrm
8
s / Common Name / Tiêu đề Tên Alternative / - Chrome đã không được sử dụng Tên thường gọi ở tất cả trong 2 năm; các trình duyệt khác chỉ làm như vậy nếu SAN vắng mặt, điều này không đúng với bất kỳ (EE) nào từ các CA công cộng kể từ trước năm 2010, mặc dù bạn có thể sắp xếp nó cho các bài kiểm tra do bạn tự tạo. Đó chính xác là lý do tại sao bạn có thể nhận được một chứng chỉ cho nhiều tên miền - các loại giấy cổ chỉ sử dụng Tên chung không thể làm được điều đó.
dave_thndry_085
12
@djdomi một chứng chỉ ký tự đại diện cho *.example.comvẫn không bao gồm tên miền trần example.com. Bạn vẫn cần hai giá trị trong SAN.
Michael - sqlbot
4
Lý do lớn hơn để tránh chứng chỉ ký tự đại diện là OP đang sử dụng LetsEncrypt. Mặc dù LetsEncrypt không hỗ trợ chứng chỉ ký tự đại diện, nhưng điều này đòi hỏi một thách thức DNS. Đáp ứng một thách thức DNS khó tự động hóa hơn. Ngoài ra, tự động hóa một thách thức DNS có thể có nghĩa là một máy chủ bị xâm nhập sẽ cấp cho kẻ tấn công quyền truy cập vào DNS của bạn. Vì vậy, đủ để sử dụng chứng chỉ UCC hoặc hai chứng chỉ (cách tiếp cận này không quan trọng lắm. Làm bất cứ điều gì dễ dàng hơn).
Brian
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.