Generato un certificato del server IIS utilizzando la mia autorità di certificazione del dominio (presumibilmente un intermedio per la CA radice "segreta") tramite i certificati server - > Crea un "certificato" certificato di dominio. Inserito il nome FQDN del mio server per il nome comune, compilato il modulo rimanente e premuto Fine. Il certificato viene generato e visualizzato come certificato valido emesso da MYDOMAIN.FQDN ed emesso a MYSERVER.FQDN. Ho modificato il binding per 443 per utilizzare questo nuovo certificato.
Quando visito il sito, utilizzo:
Chrome - Non mi dà il 'popup non attendibile' ma inserisce una linea rossa nella parte HTTPS dell'URL e quando controllo i dettagli dice: "Questo sito utilizza una configurazione di sicurezza debole SHA-1 quindi la tua connessione potrebbe non essere privata "... Controllo i dettagli del certificato ed è in effetti lo stesso certificato TLS 1.0 che avevo appena abilitato e vedo il nostro MYDOMAIN.FQDN come certificato intermedio di fiducia in Chrome - > menu dei certificati.
Firefox - Mi dà il popup che dice "non posso confermare che la tua connessione sia sicura" ... "Il certificato non è attendibile perché il certificato emittente è sconosciuto" ... quindi cerco MYDOMAIN.FQDN in Il menu dei certificati di Firefox non si vede da nessuna parte.
IE: mi consente di visualizzare MYDOMAIN.FQDN come un'autorità di certificazione intermedia affidabile.
Domande:
-
Perché Firefox non riconosce MYDOMAIN.FQDN come certificato intermedio attendibile ... non dovrebbe essere memorizzato a livello di sistema operativo (e come membro del dominio si applica a tutti i browser?)
-
Comprendo appieno il rischio dell'utilizzo di SHA1 e delle vulnerabilità scoperte ... Google sta solo cercando di escludere le persone dall'utilizzo di SHA1 inserendo la linea rossa (molto visibile) nell'URL?
-
Esiste un'impostazione da qualche parte nella mia autorità di certificazione del dominio che imposterà automaticamente SHA2 o hash della firma migliore perché non ho visto un'opzione per l'algoritmo hash nella procedura guidata "Crea certificato di dominio". Immagino che potrei passare attraverso la Richiesta di creazione certificati - > Emissione in due passaggi e specificare l'algoritmo hash.
Grazie!