Une histoire de cadenas

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Une histoire de cadenas

Jedediah

Salut tout le monde !
Je viens demander votre aide pour une petite histoire de configuration de certificats.

J'utilise des certificats SSL signé par StartSSL sur mes serveurs en suivant la méthode décrite dans mon tuto.
Le problème c'est que depuis quelques mois, les navigateurs (en l'occurrence Chrome) m'affichent un petit triangle orange sur le cadenas à gauche de la barre d'adresse. Pire, chez certains de mes coloc, la connexion est totalement bloquée par le navigateur.

Le message d'info de Chrome indique qu'un des certificats de la chaine de certificats utilise SHA-1 qui est obsolète. N'étant absolument pas un expert dans le domaine j'aimerai savoir ce que je dois modifier dans ma méthode d'installation des certificats pour que ce message n'apparaisse plus.

A savoir qu'un certificat payant n'affiche aucun message d'erreur, j'espère qu'il ne faut pas obligatoirement passé par un site payant pour s'affranchir de ces messages...

Merci d'avance !

Hardware

Lors de la génération du CSR il faut préciser le paramètre sha256 pour passer à une signature de type SHA-2 :

openssl req -nodes -newkey rsa:2048 -sha256 -keyout monserveur.key -out monserveur.csr

Google a déprécié SHA-1 il y a quelques mois parce qu'il devient assez facile pour un attaquant ayant assez de puissance de calcul de déjouer le certificat SSL.

Pour plus d'information, voir :

https://community.qualys.com/blogs/securitylabs/2014/09/09/sha1-deprecation-what-you-need-to-know
https://konklone.com/post/why-google-is-hurrying-the-web-to-kill-sha-1
http://googleonlinesecurity.blogspot.fr/2014/09/gradually-sunsetting-sha-1.html
https://blog.filippo.io/the-unofficial-chrome-sha1-faq/
https://shaaaaaaaaaaaaa.com/

lokiii

Hello,
Tu sais quel certif en particulier pose soucis ?
Quand tu vas sous ton panel startssl, dans le cadre en bas a droite qui affiche tes certifs par sous domaine, tout est OK ?

Arthur_

Bonjour,

Peut être un élément de réponse sur ce post : https://lafibre.info/cryptographie/pb-https-barre-en-rouge-chrome-42-sous-win7/

Hardware

Il faut penser aussi à inclure le certificat racine (Root CA) ainsi que tous les certificats intermédiaires de la chaine avec une signature SHA2, donc dans le cas de StartSSL :

https://www.startssl.com/certs/ca-sha2.pem
https://www.startssl.com/certs/class1/sha2/pem/sub.class1.server.sha2.ca.pem

Jedediah

Et quand shaaaaaaaaaaaaaaaaaaaaaaaaaa me dit que tout est bon alors que Chrome non ?

Edit : et que j'ai 2 certificats générés avec la même méthode : un affiche le cadenas vert, l'autre orange...

Hardware

SSL decoder et SSL Labs te disent quoi au niveau de la chaine ?

https://ssldecoder.org/
https://www.ssllabs.com/ssltest/

EDIT : essaye de vider ton cache
https://sslmate.com/blog/post/chrome_cached_sha1_chains

Jedediah

Je te mets Hardware, pas envie de partager mes ndd et résultats avec tout le monde.