Время менять SHA-1 сертификаты

С сегодняшнего дня Google Chrome начал показывать мои SSL сертификаты SHA-1 как небезопасные.

Выглядит это так:

• 
• 

Сайты пока работают, проблем нет, но в будущем браузеры будут ругаться на эти сертификаты как на самоподписанные. Подробности можно прочитать на Хабре, а проверить свои сертификаты вот здесь.

Что же делать, если у вас старый SHA-1?

Очевидно, что нужно перевыпустить сертификаты с алгоритмом SHA-2 и эта процедура зависит от того, где вы этот сертификат брали.

Я оформлял на startssl.com, и при попытке создать там новый сертификат для *.bezumkin.ru, получил ошибку, что такой домен уже есть и его сертификат нужно отозвать. Процедура отзыва платная и стоит аж $24.90 за сертификат.

Платить не хотелось и я обратился в поддержку:

Hello!

Today all my certificates become «not secure» for Google Chrome. It seems, that problem in weak SHA-1 algorithm.

Right, Google is aggressively deprecating SHA1 one.

Is there any way to make a new SHA-2 certificates? What can I do for it?

Yes, try to get new certificates by simply using a unique first sub domain, for example use «www» at the first position and then add the wild card "*" at the second one using the «Add More» button. The certificate will work exactly the same.

То есть, нужно создать новые сертификаты и указать там в первую очередь какой-нибудь поддомен, чтобы имена старого и нового сертификата не совпадали. А потом можно включить и wildcard.

То есть, раньше у меня в сертификате было

*.bezumkin.ru
bezumkin.ru

А теперь

www.bezumkin.ru
*.bezumkin.ru
bezumkin.ru

И этот новый сертификат устанавливается вместо старого. В результате видим везде зелёные замочки, как и раньше.

Совершенно легальный способ, указанный техподдержкой. Всем идентифицированным пользователям StartSSL можно смело пользоваться.