Il mio sito ha abilitato la trasparenza del certificato, ma Chrome sta ancora mostrando NET :: ERR_CERTIFICATE_TRANSPARENCY_REQUIRED

9

Ho un sito chiamato www.goflyla.com e ho acquistato il certificato SSL da RapidSSL con Trasparenza certificato abilitato.

Gli SSLLab danno una linea verde che dice Certificate Transparency: Yes (certificate) :

Stranamente,questoaccadesoloinChrome(versioneperMac).PossoancoraaccederealmiositosuWindowseUbuntu(Linux)ChromemadicendothesitesuppliedinvalidCertificateTransparencyinformation

Controllatoconchrome://net-internalseembedded_sctsèlì:

L'ho ridotto a Chrome versione 53.

Che cosa dovrei fare?

    
posta Brian Ho 19.09.2016 - 06:18
fonte

2 risposte

5

Redazione CT fallita

Secondo il sito di ricerca CT (archiviato qui ) il certificato viene registrato come ?.goflyla.com . Sembra molto simile a un tentativo di correggere il nome esatto del dominio.

E sfortunatamente quella caratteristica non è ancora completamente standardizzata. Quindi non funziona al momento. (E qualsiasi tentativo di inviare una voce redatta al log si tradurrà semplicemente in Chrome 53 che ignora completamente la voce del registro e che dice: Nessuna voce di registro trovata. - Per i dettagli, vedi il post del blog SSLMate collegato sotto.)

Quindi cosa puoi fare? -- Non ne sono sicuro. Direi una delle due cose:

  • Chiedi a RapidSSL di correggere l'invio del log di CT e invia nuovamente il nome host non modificato.
  • Compra un certificato diverso. E non da Symantec o da una filiale. - Il motivo è che Symantec è stato, per mancanza di una parola migliore, condannato da Google a CT registra ogni nuovo certificato (archiviato qui ). - (E sembra che tale requisito si applichi anche alle loro controllate, come RapidSSL.) E altre autorità di certificazione semplicemente non sono soggette a tale requisito.

Ulteriori letture:

  • Blog SSLMate, 2016-09-07, Perché Chrome 53 sta rifiutando il certificato Symantec di Chase Bank ( Archiviato qui .)

    Despite the fact that redaction, practically speaking, does not exist, Symantec forged ahead and grafted redaction onto the original version of Certificate Transparency. The result is a Franken-certificate that works fine in browsers that don't support Certificate Transparency, but fails to validate in Chrome.

  • Voce di log senza redazione: link
  • Registra la voce da più tardi lo stesso giorno. È interessante notare il numero seriale SAME. Non so cosa farmene. Anche ora con lo strano tentativo di redazione di "?" Invece di "www": link
risposta data 19.09.2016 - 11:27
fonte

Leggi altre domande sui tag