www.symantec.com/connect/blogs/google-s-sha-1-deprecation-plan-chrome
В частности, к проблемным сертификатам относятся сертификаты серверов с подписью SHA-1/SHA-2 у котороых промежуточный сертификат содержит SHA-1 (но рутовый CA может содержать SHA-1).
В цепочке сертификатов выдаваемых nic.ru, их сертификат «RU-CENTER High Assurance Services CA» как раз содержит SHA-1 и соответственно все конечные сертификаты затронуты.
Это подтверждается проверкой на:
ssltools.thawte.com/checker/views/certCheck.jsp
sslanalyzer.comodoca.com
Поддержка nic.ru предлагает мне перевыпустить конечный сертифика с SHA-2, я им объясняю, что проблема не в конечном, а в интермедиэйт сертификате, т.е. в их сертификате.
Я попусту кипишую или nic.ru тупит?
Комментарии (6)
inkvizitor68sl
14.04.2015 14:42+2«Поменять СА» у уже выпущенного сертификата нельзя.
Уточните у них, может быть новый SHA-2 сертификаты подписываются другим CA-сертом?
neiromancer Автор
14.04.2015 18:18Вопрос снят.
ник.ру выпустит свой промежуточный сертификат с SHA-2 если мы перезакажем сертификат с SHA-2blind_oracle
15.04.2015 14:35Я им перезаказал свой сертификат, вот второй день что-то думают, «В обработке» :)
Makc666
15.04.2015 16:11Как у Thawte, так и у GeoTrust, так и у Symantec (одна контора) есть User Portal.
По вашему email адресу, указанному в качестве Technical contact при заказе сертификата, можно получить доступ к управлению вашим сертификатом.
Внутри User Portal для сертификата есть возможность скачать все необходимые промежуточные сертификаты CA.
А так же можно в любом момент отозвать или перевыпустить сертификат (бесплатно).
products.thawte.com/orders/orderinformation/authentication.do
products.geotrust.com/orders/orderinformation/authentication.do
products.verisign.com/orders/orderinformation/authentication.do
На самом деле база общая и адрес ссылки значения не имеет — на странице Symanec можно запросить доступ от Thanwte и т.д.
+
Symantec Installation Instructions for SSL Certificates
knowledge.verisign.com/support/ssl-certificates-support/index?page=content&id=AR212&actp=LIST
+
=================================================================
Symantec Intermediate CA certificates
To obtain Symantec Intermediate CA certificates, refer to solution AR657
knowledge.verisign.com/support/ssl-certificates-support/index?page=content&actp=CROSSLINK&id=AR657
=================================================================
ProGOLD
Не попусту. Через какое-то время SHA-1 будет признан не стойким. И тогда любой нормальный браузер должен считать цепочку, в которой присутствует промежуточный сертификат, подписанный SHA-1, недоверенной. Корневым можно, ибо они все равно сами себя подписывают. Может быть, Вам не повезло с сотрудником nic.ru?