Comportamento certificato SSL diverso con Chrome su desktop e Chrome su iOS

4

Abbiamo un sito Web, link , che contiene un certificato multi-SAN GeoTrust. Il certificato è aggiornato, utilizzando SHA-256, TLS 1.2, ecc. Quando visualizziamo il sito in Chrome su vari sistemi desktop mostra il blocco verde nella barra di stato come previsto, e come visto in questa schermata:

Tuttavia,quandovisualizziamolaversionemobiledelsitonell'ultimaversionediChromesuuniPhone,illucchettoapparegiallonellabarradegliindirizzi,maleinformazionirelativeallaconnessionesonotutteverdi,comeinquestoscreenshot:

La mia domanda è: perché Chrome sul dispositivo iOS mostra il lucchetto giallo quando Chrome sul desktop no? Non abbiamo alcun problema con questo certificato SSL in Safari, Opera o Mercury su iOS o Firefox o altri browser sui desktop.

    
posta Bruce P 21.05.2015 - 22:51
fonte

1 risposta

6

link

link

Il lucchetto è giallo perché hai un certificato che utilizza SHA-1 nella catena di certificati e Google ha dichiarato guerra ai certificati SHA-1.

Chrome utilizza le CA radice del sistema operativo. Se il sistema operativo ha il certificato "GeoTrust Global CA" con impronta digitale de28f4a4ffe5b92fa3c503d1a349a7f9962a8212, allora non ci saranno certificati SHA-1 nella catena, perché la tua cert può essere collegata a un certificato che il browser considera attendibile utilizzando solo certificati che utilizzano SHA-256 .

In caso contrario, la catena utilizzerà la precedente "GeoTrust Global CA" con impronta digitale 7359755c6df9a0abc3060bce369564c8ec4542a3, che viene inviata dal server e utilizza SHA-1, per collegare il certificato a un certificato attendibile dal sistema operativo ( un vecchio certificato RSA 1024).

Puoi provare a non inviare il certificato 7359755c6df9a0abc3060bce369564c8ec4542a3 e vedere se interrompe qualsiasi client che ti interessa (quelli che non hanno de28f4a4ffe5b92fa3c503d1a349a7f9962a8212 nell'elenco dei certificati attendibili).

Inoltre, dovresti:

  1. Esegui l'upgrade di openssl e server web per utilizzare DHE a 2048 bit (a meno che non sia necessaria la compatibilità con i client java precedenti).
  2. Anche se non è possibile eseguire l'aggiornamento a DHE a 2048 bit, genera nuovi parametri DH. Stai utilizzando un numero primo comune che verrà rotto per primo da chiunque possa calcolare i numeri a 1024 bit .
  3. Riordina la priorità delle suite di crittografia: ECDHE + GCM, ECDHE + CBC second, DHE + CBC third, RSA + 3DES fallback.

EDIT: una spiegazione molto buona per due casi d'angolo quando si invia la catena SHA-2 e il browser vede ancora SHA-1: link

    
risposta data 21.05.2015 - 23:14
fonte

Leggi altre domande sui tag