Sto acquistando un certificato SSL e ho preso questi screenshot da Chrome
e
Il secondo certificato del sito mostra errori meno sicuri rispetto agli altri che non mostrano errori?
Sono visualizzate due informazioni sulla sicurezza diverse: sul certificato stesso e sull'algoritmo di crittografia. La seconda parte (vale a dire "obsolete cipher suite ...") è indipendente dal certificato e dipende dalla configurazione del server.
Ma la prima parte riguarda il certificato stesso. La differenza principale qui è che il primo sito utilizza un certificato di una CA che supporta la trasparenza dei certificati mentre il secondo sito non lo fa. Ciò significa che la prima CA è più trasparente sui certificati emessi rispetto alla seconda e quindi può essere più affidabile. La trasparenza del certificato è (almeno con Chrome) per ora principalmente necessaria per i certificati di convalida estesa (EV). Ma in futuro Chrome probabilmente lo richiederà anche per altri certificati.
Un'altra differenza nella parte del certificato è "Impossibile verificare se il certificato è stato revocato". Chrome controlla solo i certificati selezionati per la revoca, come i certificati EV e alcuni altri che pensano che Google sia importante. Ovviamente il certificato per il secondo sito non era abbastanza importante da essere controllato contro la revoca e quindi il certificato può essere considerato meno sicuro, almeno all'interno del browser Chrome.
E infine le informazioni per il primo sito mostrano più informazioni sul sito che visiti, mentre per il secondo sito non hai informazioni tranne chi ha firmato il certificato. Questo perché il primo certificato è un certificato EV in cui la CA controlla le informazioni aziendali ecc. Per verificare l'identità del proprietario. Al contrario, i certificati DV (domain validated domain) più economici controllano solo se la parte possiede il dominio, controllando se ha accesso a specifici indirizzi di posta o possono creare file specifici sul server. Questo è molto più facile da falsificare e quindi questi certificati sono meno affidabili.
Naturalmente, la maggior parte dei clienti non capisce tutti questi aspetti, ma potrebbero capire la differenza tra una rassicurante barra verde per i certificati EV e solo una piccola indicazione di sicurezza per gli altri certificati. Alla fine è facile per un utente malintenzionato ottenere un certificato DV per il proprio sito. Ma sarà molto più difficile ottenere un certificato EV a causa delle ulteriori procedure di verifica.
Non capisco perché Chrome fornisca quel rapporto. Inoltre, non sono in grado di riprodurlo.
Ma questo ha poco a che fare con il fornitore di certificati. Anche se avere un server CRL / OCSP stabile disponibile 24 ore su 24, 7 giorni su 7 è un marchio di una buona CA, non penso che questo si applichi qui. Chrome non dovrebbe / non dovrebbe interessarsene. (Dettagli sotto.)
Chrome mostra due icone di valutazione per una connessione crittografata:
Le definizioni ufficiali delle icone sono qui:
Sono ancora relativamente nuovi, sono stati introdotti solo a ottobre:
E inoltre, c'è un documento di 11 pagine che cerca di spiegare a basso livello:
Sono confuso dal messaggio "Impossibile verificare se il certificato è stato revocato" . Il motivo è che una versione corrente di Chrome non dovrebbe nemmeno averla spuntata al primo posto .
Stai eseguendo Chrome su un Mac? Quel potrebbe avere qualcosa a che fare con esso .
L'esecuzione della "suite di crittografia obsoleta" E "le risorse che non sono sicure" daranno l'icona rossa. Puoi diagnosticare ulteriormente con gli strumenti F12 e il pannello "Rete" lì.
Un pannello "Sicurezza" è stato annunciato per Chrome F12 DevTools . Al momento non aiuta, ma forse questo potrebbe aiutare a diagnosticare ulteriormente questi problemi in futuro.
Questi errori non sono realmente correlati al certificato stesso. Puoi utilizzare suite di crittografia moderne o obsolete con lo stesso certificato.
La prima connessione è più sicura, ma i certificati POSSONO essere identici in sicurezza. Relativo alle scelte di configurazione del codice server.
Nel secondo caso le informazioni sulla revoca dei certificati non erano disponibili e, di nuovo, mentre un servizio basato sui certificati, non sono influenzati dai certificati stessi. Tuttavia, questo servizio è probabilmente fornito dall'autorità di certificazione, quindi potrebbe essere un indicatore della loro cultura della sicurezza.
Non dire che i certificati siano ugualmente sicuri, ma non ci sono abbastanza informazioni per poter dire che un certificato è migliore dell'altro.
Leggi altre domande sui tag tls cipher-selection