Certificat SSL non valide dans Chrome

Pour le site Web scirra.com ( cliquez pour les résultats des tests du serveur SSL Labs ), Google Chrome signale l'icône suivante:

C'est un SSL EV, et il semble bien fonctionner dans Firefox et Internet Explorer, mais pas dans Chrome. Quelle est la raison pour ça?

Ce que vous voyez maintenant, ce n'est pas la "barre d'adresse verte" que vous attendez d'un certificat EV, mais ce qui suit:

La raison en est l'annonce suivante sur le blog de Google Online Security :

L'algorithme de hachage cryptographique SHA-1 est connu pour être considérablement plus faible qu'il n'a été conçu depuis au moins 2005 - il y a 9 ans. Les attaques par collision contre SHA-1 sont trop abordables pour que nous puissions les considérer comme sûres pour l'ICP du Web public. Nous pouvons seulement nous attendre à ce que les attaques deviennent moins chères.

C'est pourquoi Chrome commencera le processus de suppression de SHA-1 (tel qu'il est utilisé dans les signatures de certificat pour HTTPS) avec Chrome 39 en novembre. ... Les sites dont les certificats d'entité finale expirent entre le 1er juin 2016 et le 31 décembre 2016 (inclus), et qui incluent une signature basée sur SHA-1 dans la chaîne de certificats, seront traités comme «sécurisés, mais avec une mineure les erreurs".

Le «sécurisé mais avec des erreurs mineures» est indiqué par le signe d'avertissement dans le cadenas et les paramètres de sécurité obsolètes dans le message étendu sont le fait que le certificat repose sur l'algorithme de hachage SHA-1.

Ce que vous devez faire est le suivant:

Générez une nouvelle clé privée avec un hachage SHA-256 et une nouvelle demande de signature de certificat (CSR) et demandez à votre fournisseur SSL de vous réémettre avec un nouveau certificat. Avec les certificats EV, une réémission nécessite généralement plus ou moins les mêmes cercles que vous avez dû traverser pour obtenir le certificat initialement, mais vous devriez obtenir un nouveau certificat valide jusqu'à la même date d'expiration du certificat actuel sans frais supplémentaires.

Dans openssl, vous utiliseriez quelque chose comme la ligne de commande suivante:

openssl req -nodes -sha256 -newkey rsa:2048 -keyout www.scirra.com.sha256.key -out www.scirra.com.sha256.csr

Cela est dû au plan de temporisation de Google pour SHA-1 .

• Il n'y a pas de problème de sécurité immédiat.
• SHA-2 est l'algorithme de hachage actuellement recommandé pour SSL. Aucune violation des certificats utilisant SHA-1 n'a été signalée.
• L'affichage des indicateurs d'interface utilisateur dégradés sur Chrome 39 et versions ultérieures fait partie du plan de dépréciation SHA-1 de Google et s'appliquera à toutes les autorités de certification (AC).
• L'interface utilisateur dégradée ne sera visible que par les utilisateurs de Chrome 39 et versions ultérieures, et non des versions antérieures. Contactez votre fournisseur SSL après avoir demandé à votre administrateur système de localiser votre clé privée existante (sur votre serveur Web), et ils effectueront une réémission de certificat avec SHA-2 gratuitement. Vous aurez besoin d'un nouveau CSR.

Ce qui suit créera un nouveau CSR sur OSX / Linux si OpenSSL est installé (référez-vous à vos champs de certificat SSL existants car le domaine (aka "Common Name") doit rester le même:

Linux / OSX:

openssl req -new -sha256 -key myexistingprivate.key -out newcsr.csr

Pour Windows, consultez cet article TechNet .

À ce stade, vous devrez peut-être contacter votre fournisseur pour obtenir de l'aide, si vous ne voyez pas d'option de réémission via son portail SSL. Le site Web de Comodo semble expliquer en détail comment procéder si cela ne vous suffit pas.

Une fois le certificat SHA-2 installé, cela éliminera le «problème» que vous voyez dans Chrome.

Vous avez besoin du certificat SHA2 pour le faire disparaître. Plus d'informations sur SHA-1