【发布时间】:2015-06-01 14:38:20
【问题描述】:
我有多个使用 SSL 保护的网站。一切都来自同一个供应商。在一个域中,Chrome 说:
此站点使用了较弱的安全配置(SHA-1 签名),因此 您的连接可能不是私密的。
我使用 ssllabs.com 测试了域,得到了 A。还使用 shaaaaaaaaaaaaa.com 进行了测试,它说,我的域有一个用 SHA-2 签名的可验证证书链。
这是我在Apache2 中的 SSL 设置:
SSLEngine on
SSLProtocol all -SSLv3 -SSLv2
SSLHonorCipherOrder On
SSLInsecureRenegotiation off
SSLCipherSuite "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA"
SSLCertificateFile /etc/ssl/certs/xxxcert.cert
SSLCertificateKeyFile /etc/ssl/private/xxxkey.key
SSLCertificateChainFile /etc/ssl/certs/sub.class1.server.ca.pem
我的error.log 中没有任何错误。有人可以帮助我,我应该在哪里继续调试?
【问题讨论】:
-
用不同的浏览器验证。另请参阅sslmate.com/blog/post/chrome_cached_sha1_chains。
-
谢谢!这个链接有帮助!我修复了它,但我没有足够的代表将其标记为答案。
标签: google-chrome ssl apache2 sha1 sha2