Время менять SHA-1 сертификаты
С сегодняшнего дня Google Chrome начал показывать мои SSL сертификаты SHA-1 как небезопасные.
Выглядит это так:
Сайты пока работают, проблем нет, но в будущем браузеры будут ругаться на эти сертификаты как на самоподписанные. Подробности можно прочитать на Хабре, а проверить свои сертификаты вот здесь.
Что же делать, если у вас старый SHA-1?
Очевидно, что нужно перевыпустить сертификаты с алгоритмом SHA-2 и эта процедура зависит от того, где вы этот сертификат брали.
Я оформлял на startssl.com, и при попытке создать там новый сертификат для *.bezumkin.ru, получил ошибку, что такой домен уже есть и его сертификат нужно отозвать. Процедура отзыва платная и стоит аж $24.90 за сертификат.
Платить не хотелось и я обратился в поддержку:
То есть, раньше у меня в сертификате было
Совершенно легальный способ, указанный техподдержкой. Всем идентифицированным пользователям StartSSL можно смело пользоваться.
Выглядит это так:
Сайты пока работают, проблем нет, но в будущем браузеры будут ругаться на эти сертификаты как на самоподписанные. Подробности можно прочитать на Хабре, а проверить свои сертификаты вот здесь.
Что же делать, если у вас старый SHA-1?
Очевидно, что нужно перевыпустить сертификаты с алгоритмом SHA-2 и эта процедура зависит от того, где вы этот сертификат брали.
Я оформлял на startssl.com, и при попытке создать там новый сертификат для *.bezumkin.ru, получил ошибку, что такой домен уже есть и его сертификат нужно отозвать. Процедура отзыва платная и стоит аж $24.90 за сертификат.
Платить не хотелось и я обратился в поддержку:
То есть, нужно создать новые сертификаты и указать там в первую очередь какой-нибудь поддомен, чтобы имена старого и нового сертификата не совпадали. А потом можно включить и wildcard.Hello!Right, Google is aggressively deprecating SHA1 one.
Today all my certificates become «not secure» for Google Chrome. It seems, that problem in weak SHA-1 algorithm.
Is there any way to make a new SHA-2 certificates? What can I do for it?Yes, try to get new certificates by simply using a unique first sub domain, for example use «www» at the first position and then add the wild card "*" at the second one using the «Add More» button. The certificate will work exactly the same.
То есть, раньше у меня в сертификате было
*.bezumkin.ru bezumkin.ruА теперь
www.bezumkin.ru *.bezumkin.ru bezumkin.ruИ этот новый сертификат устанавливается вместо старого. В результате видим везде зелёные замочки, как и раньше.
Совершенно легальный способ, указанный техподдержкой. Всем идентифицированным пользователям StartSSL можно смело пользоваться.
Комментарии: 12
Авторизуйтесь или зарегистрируйтесь, чтобы оставлять комментарии.


PHP скрипт в защищенном окружении не мог проверить подлинность сертификата, и считал его поддельным — поэтому авторизация в Office не работала. Вчера же я это и починил, скопировав в окружение корневые сертификаты OpenSSL.
А сегодняшняя новость, по идее, пока ни на что не должна влиять, кроме неожиданной замены зеленого замочка на желтенький и обратно.
Для проверки установил себе последнюю оперу и без вопросов авторизовался в ней и на modx.pro, и на bezumkin.ru.
А сертификаты — бесплатные.
и для одного дополнительного, к примеру
что весьма достаточно)
так как получить 2й класс сертификата? Отправить им копии паспорта, (карточки банковской нет) и просто ждать?