Время менять SHA-1 сертификаты

С сегодняшнего дня Google Chrome начал показывать мои SSL сертификаты SHA-1 как небезопасные.

Выглядит это так:
Сайты пока работают, проблем нет, но в будущем браузеры будут ругаться на эти сертификаты как на самоподписанные. Подробности можно прочитать на Хабре, а проверить свои сертификаты вот здесь.

Что же делать, если у вас старый SHA-1?

Очевидно, что нужно перевыпустить сертификаты с алгоритмом SHA-2 и эта процедура зависит от того, где вы этот сертификат брали.

Я оформлял на startssl.com, и при попытке создать там новый сертификат для *.bezumkin.ru, получил ошибку, что такой домен уже есть и его сертификат нужно отозвать. Процедура отзыва платная и стоит аж $24.90 за сертификат.

Платить не хотелось и я обратился в поддержку:
Hello!

Today all my certificates become «not secure» for Google Chrome. It seems, that problem in weak SHA-1 algorithm.
Right, Google is aggressively deprecating SHA1 one.

Is there any way to make a new SHA-2 certificates? What can I do for it?
Yes, try to get new certificates by simply using a unique first sub domain, for example use «www» at the first position and then add the wild card "*" at the second one using the «Add More» button. The certificate will work exactly the same.
То есть, нужно создать новые сертификаты и указать там в первую очередь какой-нибудь поддомен, чтобы имена старого и нового сертификата не совпадали. А потом можно включить и wildcard.

То есть, раньше у меня в сертификате было
*.bezumkin.ru
bezumkin.ru
А теперь
www.bezumkin.ru
*.bezumkin.ru
bezumkin.ru
И этот новый сертификат устанавливается вместо старого. В результате видим везде зелёные замочки, как и раньше.

Совершенно легальный способ, указанный техподдержкой. Всем идентифицированным пользователям StartSSL можно смело пользоваться.
Василий Наумкин
24 января 2015, 11:00
modx.pro
4
3 778
+3

Комментарии: 12

Александр Наумов
24 января 2015, 15:40
0
А я та думаю, почему через Оперу не могу авторизироваться, а оно вон что.
    Василий Наумкин
    24 января 2015, 17:04
    0
    Если это было вчера — то там были заморочки связанные с обновлением хостинга.

    PHP скрипт в защищенном окружении не мог проверить подлинность сертификата, и считал его поддельным — поэтому авторизация в Office не работала. Вчера же я это и починил, скопировав в окружение корневые сертификаты OpenSSL.

    А сегодняшняя новость, по идее, пока ни на что не должна влиять, кроме неожиданной замены зеленого замочка на желтенький и обратно.
      Александр Наумов
      24 января 2015, 21:18
      0
      Да, прям сейчас в Опере проблема, хотя раньше авторизировался через нее.
        Василий Наумкин
        24 января 2015, 21:28
        0
        Такое ощущение, что закэшировался старый сертификат =(

        Для проверки установил себе последнюю оперу и без вопросов авторизовался в ней и на modx.pro, и на bezumkin.ru.
Павел Левин
26 января 2015, 01:49
0
Бытует мнение, что это временное помешательство, вряд ли народ будет платить за сертификаты ради некого бесплатного сайта, который и так в минус работает (за железо надо же платить).
    Василий Наумкин
    26 января 2015, 07:35
    0
    StartSSL выдаёт сертификаты бесплатно.
      Алексей
      15 февраля 2015, 18:40
      0
      А потом можно включить и wildcard.
      Вроде как для получения вилдкард сертификата (для поддоменов основного домена) необходимо пройти платную верификацию стоимостью $ 59.90.
        Василий Наумкин
        15 февраля 2015, 18:53
        0
        Да, платная верификация.

        А сертификаты — бесплатные.
          Алексей
          15 февраля 2015, 20:16
          0
          на самом деле если не проходить валидацию (не платить им ни цента), то можно получить сертификат для основного домена, к примеру
          modx.pro
          и для одного дополнительного, к примеру
          id.modx.pro
          что весьма достаточно)
Magnifin
05 марта 2015, 23:56
0
Алексей,
так как получить 2й класс сертификата? Отправить им копии паспорта, (карточки банковской нет) и просто ждать?
    Авторизуйтесь или зарегистрируйтесь, чтобы оставлять комментарии.
    12