14.04.2015 08:16
neiromancer 6 7491 Источник
Cообщение полугодовой давности о том, что в ближайшем будущем MS & Google будут считать некоторые сертификаты серверов «недоверенными». Как следствие, в браузерах сервер будет не «зелёненьким», а «красненьким», что совсем не понравится клиентам.

www.symantec.com/connect/blogs/google-s-sha-1-deprecation-plan-chrome

В частности, к проблемным сертификатам относятся сертификаты серверов с подписью SHA-1/SHA-2 у котороых промежуточный сертификат содержит SHA-1 (но рутовый CA может содержать SHA-1).

В цепочке сертификатов выдаваемых nic.ru, их сертификат «RU-CENTER High Assurance Services CA» как раз содержит SHA-1 и соответственно все конечные сертификаты затронуты.

Это подтверждается проверкой на:
ssltools.thawte.com/checker/views/certCheck.jsp
sslanalyzer.comodoca.com

Поддержка nic.ru предлагает мне перевыпустить конечный сертифика с SHA-2, я им объясняю, что проблема не в конечном, а в интермедиэйт сертификате, т.е. в их сертификате.

Я попусту кипишую или nic.ru тупит?

Комментарии (6)


  1. ProGOLD
    14.04.2015 14:37
    #8375445

    Не попусту. Через какое-то время SHA-1 будет признан не стойким. И тогда любой нормальный браузер должен считать цепочку, в которой присутствует промежуточный сертификат, подписанный SHA-1, недоверенной. Корневым можно, ибо они все равно сами себя подписывают. Может быть, Вам не повезло с сотрудником nic.ru?


  1. inkvizitor68sl
    14.04.2015 14:42
    #8375457
    +2

    «Поменять СА» у уже выпущенного сертификата нельзя.

    Уточните у них, может быть новый SHA-2 сертификаты подписываются другим CA-сертом?


  1. neiromancer Автор
    14.04.2015 18:18
    #8375873

    Вопрос снят.
    ник.ру выпустит свой промежуточный сертификат с SHA-2 если мы перезакажем сертификат с SHA-2


    1. aivus
      14.04.2015 21:23
      #8376131
      +1

      Вроде как не на тостере


    1. blind_oracle
      15.04.2015 14:35
      #8377271

      Я им перезаказал свой сертификат, вот второй день что-то думают, «В обработке» :)


  1. Makc666
    15.04.2015 16:11
    #8377573

    Как у Thawte, так и у GeoTrust, так и у Symantec (одна контора) есть User Portal.

    По вашему email адресу, указанному в качестве Technical contact при заказе сертификата, можно получить доступ к управлению вашим сертификатом.

    Внутри User Portal для сертификата есть возможность скачать все необходимые промежуточные сертификаты CA.

    А так же можно в любом момент отозвать или перевыпустить сертификат (бесплатно).

    products.thawte.com/orders/orderinformation/authentication.do
    products.geotrust.com/orders/orderinformation/authentication.do
    products.verisign.com/orders/orderinformation/authentication.do

    На самом деле база общая и адрес ссылки значения не имеет — на странице Symanec можно запросить доступ от Thanwte и т.д.

    +
    Symantec Installation Instructions for SSL Certificates
    knowledge.verisign.com/support/ssl-certificates-support/index?page=content&id=AR212&actp=LIST
    +
    =================================================================
    Symantec Intermediate CA certificates
    To obtain Symantec Intermediate CA certificates, refer to solution AR657
    knowledge.verisign.com/support/ssl-certificates-support/index?page=content&actp=CROSSLINK&id=AR657
    =================================================================