Auteur Sujet: This page is insecure (broken HTTPS). SHA-1 deprecated !  (Lu 20423 fois)

0 Membres et 1 Invité sur ce sujet

vivien

  • Administrateur
  • *
  • Messages: 47 086
    • Twitter LaFibre.info
This page is insecure (broken HTTPS). SHA-1 deprecated !
« Réponse #12 le: 01 mai 2016 à 21:23:19 »
Apache/2.4.7
$ openssl version
OpenSSL 1.0.1f 6 Jan 2014

J'ai mis en place la configuration avec tout dans un seul fichier.
=> This server's certificate chain is incomplete. Grade capped to B.

je reviens à la conf d'origine. [edit : fait]

corrector

  • Invité
This page is insecure (broken HTTPS). SHA-1 deprecated !
« Réponse #13 le: 01 mai 2016 à 21:26:34 »
Vivien, il faudrait que tu régénère ton certificat en SHA2 remplace un de tes certificats intermediaire SHA-1 en SHA2 car Chrome va carrèment te bloquer bientôt...
Ce n'est pas le cas : vérifie avec Wireshark!

Amon-Ra

  • Expert.
  • Abonné Free fibre
  • *
  • Messages: 604
  • FTTH 1 Gbit/s à Asnières-sur-Seine (92)
This page is insecure (broken HTTPS). SHA-1 deprecated !
« Réponse #14 le: 01 mai 2016 à 21:29:22 »
Apache/2.4.7
$ openssl version
OpenSSL 1.0.1f 6 Jan 2014

J'ai mis en place la configuration avec tout dans un seul fichier.
=> This server's certificate chain is incomplete. Grade capped to B.

je reviens à la conf d'origine. [edit : fait]

avec ta config, tu dois faire ça d'apres le Mozilla SSL Configuration Generator :

    SSLEngine on
    SSLCertificateFile      /path/to/signed_certificate
    SSLCertificateChainFile /path/to/intermediate_certificate
    SSLCertificateKeyFile   /path/to/private/key
    SSLCACertificateFile    /path/to/all_ca_certs

source : https://mozilla.github.io/server-side-tls/ssl-config-generator/?server=apache-2.4.7&openssl=1.0.1f&hsts=yes&profile=intermediate

Amon-Ra

  • Expert.
  • Abonné Free fibre
  • *
  • Messages: 604
  • FTTH 1 Gbit/s à Asnières-sur-Seine (92)
This page is insecure (broken HTTPS). SHA-1 deprecated !
« Réponse #15 le: 01 mai 2016 à 21:30:43 »
Ce n'est pas le cas : vérifie avec Wireshark!

voir si c'est le serveur qui le fourni, ou le navigateur...

Amon-Ra

  • Expert.
  • Abonné Free fibre
  • *
  • Messages: 604
  • FTTH 1 Gbit/s à Asnières-sur-Seine (92)
This page is insecure (broken HTTPS). SHA-1 deprecated !
« Réponse #16 le: 01 mai 2016 à 21:33:01 »
moi il affiche toujours SHA1

vivien

  • Administrateur
  • *
  • Messages: 47 086
    • Twitter LaFibre.info
This page is insecure (broken HTTPS). SHA-1 deprecated !
« Réponse #17 le: 01 mai 2016 à 21:35:50 »
avec ta config, tu dois faire ça d'apres le Mozilla SSL Configuration Generator :

    SSLEngine on
    SSLCertificateFile      /path/to/signed_certificate
    SSLCertificateChainFile /path/to/intermediate_certificate
    SSLCertificateKeyFile   /path/to/private/key
    SSLCACertificateFile    /path/to/all_ca_certs

source : https://mozilla.github.io/server-side-tls/ssl-config-generator/?server=apache-2.4.7&openssl=1.0.1f&hsts=yes&profile=intermediate

C'est bien ce que j'ai (je n'ai pas recopié les chemins, mais ils sont bien dans la conf Apache2). L'ordre change, mais cela n'a pas d'importance.

Aujourd'hui je suis sur une configuration de ce type avec Apache 2 :
        SSLCertificateFile lafibre.crt
        SSLCertificateKeyFile lafibre.key
        SSLCertificateChainFile sub.class2.server.ca.pem
        SSLCACertificateFile ca.pem

Amon-Ra

  • Expert.
  • Abonné Free fibre
  • *
  • Messages: 604
  • FTTH 1 Gbit/s à Asnières-sur-Seine (92)
This page is insecure (broken HTTPS). SHA-1 deprecated !
« Réponse #18 le: 01 mai 2016 à 21:36:42 »
test avec https://www.tbs-internet.com/php/HTML/testssl_verif.php

fait gaff, il a un cache de merde pour les résultats


Amon-Ra

  • Expert.
  • Abonné Free fibre
  • *
  • Messages: 604
  • FTTH 1 Gbit/s à Asnières-sur-Seine (92)
This page is insecure (broken HTTPS). SHA-1 deprecated !
« Réponse #19 le: 01 mai 2016 à 21:40:11 »
ton ca.pem merde


• RACINE : ERREUR - Certificat non reconnu !
Verify return code: 20 (unable to get local issuer certificate)

tu as mis celui la : https://www.startssl.com/certs/ca.crt
?

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 078
  • Paris (75)
This page is insecure (broken HTTPS). SHA-1 deprecated !
« Réponse #20 le: 01 mai 2016 à 21:47:23 »
Aucun souci avec lafibre.info.

A mon avis , le souci est du coté d'Amon-Ra.

Amon-Ra

  • Expert.
  • Abonné Free fibre
  • *
  • Messages: 604
  • FTTH 1 Gbit/s à Asnières-sur-Seine (92)
This page is insecure (broken HTTPS). SHA-1 deprecated !
« Réponse #21 le: 01 mai 2016 à 21:54:54 »
Aucun souci avec lafibre.info.

A mon avis , le souci est du coté d'Amon-Ra.

oui et non
si de mon coté j'ai un certificat intermédiaire moyen que Chrome n'aime pas. Vivien fait comment pour forcer la chose ?


Amon-Ra

  • Expert.
  • Abonné Free fibre
  • *
  • Messages: 604
  • FTTH 1 Gbit/s à Asnières-sur-Seine (92)
This page is insecure (broken HTTPS). SHA-1 deprecated !
« Réponse #22 le: 01 mai 2016 à 21:59:20 »
pourtant !
https://shaaaaaaaaaaaaa.com/check/lafibre.info

peut-etre que :
https://sslmate.com/blog/post/chrome_cached_sha1_chains

Citer
However, browsers often cache intermediate certificates, and might use a cached certificate instead of the one offered by the server.

Citer
Unfortunately, some CAs ignored this advice at first, and one CA, StartCom, is still issuing SHA-2 end-entity certificates that are signed by a SHA-1 intermediate .
While they provide a version of the intermediate signed with SHA-2, it does no good if a browser already has the SHA-1 version cached.

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 078
  • Paris (75)
This page is insecure (broken HTTPS). SHA-1 deprecated !
« Réponse #23 le: 01 mai 2016 à 22:03:17 »
Ca n'est pas forcement a Vivien de modifier son site pour corriger un souci chez toi.

On avait déjà évoqué ce probleme y'a quelques mois, il faut forcer la maj des CA root dans Windows si elle ne se fait plus d'elle-meme.

cf: https://lafibre.info/cryptographie/pb-https-barre-en-rouge-chrome-42-sous-win7/msg221226/#msg221226