По мнению Google Chrome, рейтинг A + все еще не гарантирован

10

Я готовлю свой сервер в DigitalOcean , и хотя я получаю оценку A + от ssllabs,

https://www.ssllabs.com/ssltest/analyze.html?d=zandu.biz

когда я подключаюсь к своему сайту https://www.zandu.biz или https://zandu.biz , я получаю небезопасное уведомление внутри Chrome.

Как мне это решить?

ssl  apache-2.4  lets-encrypt 
Архитектор
источник

Ответы:

48

Этот сервер не может доказать, что это www.zandu.biz; его сертификат безопасности от zandu.biz. Это может быть вызвано неверной конфигурацией или злоумышленником, перехватывающим ваше соединение.

Имя в сертификате вашего сайта - zandu.biz, которое недопустимо для другого имени (www.zandu.biz). Кроме того, у вас есть редирект с zandu.biz на www.zandu.biz, поэтому, если вы используете имя, сертификат действителен, поскольку он перенаправляет на имя, которое не является.

Вам нужно получить сертификат с обоими именами .

ZRM
источник
4
Сертификаты подстановочных знаков могут быть более удобными или необходимыми, если имена, которые вы намереваетесь использовать, на самом деле не известны заранее. Но они также увеличивают вашу уязвимость, если скомпрометирован соответствующий закрытый ключ, потому что тогда злоумышленник может подделать любое имя в вашем домене, а не только те, которые фактически использовал сервер.
ZRM
4
Давайте зашифруем это CA. Когда они только начинали, они были подписаны IdenTrust, но это заканчивается в 2020 году, потому что их собственный корневой сертификат теперь широко доверяют. Ничто из этого не имеет ничего общего с вашей проблемой, которая была бы одинаковой в любом случае.
ZRM
8
s / Общее имя / Альтернативное имя субъекта / - Chrome вообще не использовал общее имя в течение 2 лет; другие браузеры делают это только в том случае, если SAN отсутствует, что не относится к каким-либо (EE) сертификатам из общедоступных ЦС с 2010 года, хотя вы можете организовать это для тестовых сертификатов, которые вы создаете сами. Именно поэтому вы можете получить один сертификат для нескольких доменов - древние сертификаты, использующие только общее имя, не могли этого сделать.
dave_thompson_085
12
@djdomi подстановочный сертификат для по- *.example.comпрежнему не распространяется на пустой домен example.com. Вам все еще нужно два значения в SAN.
Майкл - sqlbot
4
Основная причина избегать подстановочного сертификата состоит в том, что OP использует LetsEncrypt. Хотя LetsEncrypt поддерживает подстановочные сертификаты, для этого требуется вызов DNS. Удовлетворение проблемы DNS сложнее автоматизировать. Кроме того, автоматизация запроса DNS может означать, что взломанный сервер предоставит злоумышленникам доступ к вашему DNS. Таким образом, достаточно использовать либо сертификат UCC, либо два сертификата (такой подход не имеет большого значения. Делайте, что проще).
Брайан
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.