背景:在证书方面我完全是新手。
我们有一个运行在https://global.projacked.com的网站
证书由 AWS 颁发。
对于我们的大多数客户来说一切都很好,但是......
所以问题是:我们能做些什么来完成这项工作吗?
如果不是:我可以告诉我的客户做什么才能让它发挥作用?这是他们更新证书的问题吗?或者可能是因为他们处于安全网络(例如 VPN)中?
非常感谢您的帮助
【问题讨论】:
标签: amazon-web-services ssl certificate
您的网站global.projacked.com 正在提供valid SHA-256 certificate。报告此问题的客户似乎正在被某种 MITM 软件或设备拦截和检查其 HTTPS 流量(颁发者 -- apotex-CA -- 在他们看到的证书上泄露了它)。 MITMing 实体正在生成一个受客户浏览器信任的证书,但它恰好是一个 SHA-1 证书,导致 Chrome 抱怨。
您无法解决他们的问题。许多 MITM 软件供应商已经发布了创建 SHA-256 证书的更新,以避免此类情况。他们可能可以检查是否有可以安装的更新来生成 SHA-256 证书或阅读this 或this 以查看他们是否真的需要拦截和检查 TLS 流量。可悲的是,我看到一些组织对此问题的“解决方案”是安装不关心 SHA-1 证书并禁用自动更新的旧版 Chrome。毕竟,把头埋在沙子里非常擅长屏蔽关于这个叫做安全的小东西的所有噪音。
【讨论】:
证书颁发者应该能够根据 SHA-256 颁发证书。然后,您需要替换服务器上的证书。
一些证书颁发机构可以为您提供新证书作为旧证书的重新颁发,一些证书颁发机构需要 CSR(证书签名请求),该证书可以基于现有的私钥构建,该私钥也可能驻留在服务器上。
【讨论】: