Auteur Sujet: This page is insecure (broken HTTPS). SHA-1 deprecated !  (Lu 20416 fois)

0 Membres et 1 Invité sur ce sujet

Amon-Ra

  • Expert.
  • Abonné Free fibre
  • *
  • Messages: 604
  • FTTH 1 Gbit/s à Asnières-sur-Seine (92)
Vivien, il faudrait que tu régénère ton certificat en SHA2 remplace un de tes certificats intermediaire SHA-1 en SHA2 car Chrome va carrèment te bloquer bientôt...
ça fait déjà plus d'un an que le méchant logo rouge est affiché chez moi

https://www.startssl.com/root

Amon-Ra

  • Expert.
  • Abonné Free fibre
  • *
  • Messages: 604
  • FTTH 1 Gbit/s à Asnières-sur-Seine (92)
This page is insecure (broken HTTPS). SHA-1 deprecated !
« Réponse #1 le: 01 mai 2016 à 20:06:48 »
celui la

alain_p

  • Abonné Free fibre
  • *
  • Messages: 16 168
  • Delta S 10G-EPON sur Les Ulis (91)
This page is insecure (broken HTTPS). SHA-1 deprecated !
« Réponse #2 le: 01 mai 2016 à 20:15:56 »
En ce qui me concerne, pas de problème avec chrome.

Amon-Ra

  • Expert.
  • Abonné Free fibre
  • *
  • Messages: 604
  • FTTH 1 Gbit/s à Asnières-sur-Seine (92)
This page is insecure (broken HTTPS). SHA-1 deprecated !
« Réponse #3 le: 01 mai 2016 à 20:20:37 »
alors cela veux dire que Chrome a un vieux certificat en cache chez moi.
pour le forcer, il faut que vivien tu doit ajouter le certificat intermédiaire sha2 + root CA dans SSLCertificateChainFile sur ton ssl.conf que tu recupere la : https://www.startssl.com/root

vivien

  • Administrateur
  • *
  • Messages: 47 080
    • Twitter LaFibre.info
This page is insecure (broken HTTPS). SHA-1 deprecated !
« Réponse #4 le: 01 mai 2016 à 20:30:24 »
Mon certificat est en SHA2.
Le problème n'est pas reproductible chez moi

Sinon, j'ai toujours la certification A+ sur SSL Labs : https://www.ssllabs.com/ssltest/analyze.html?d=lafibre.info

Amon-Ra

  • Expert.
  • Abonné Free fibre
  • *
  • Messages: 604
  • FTTH 1 Gbit/s à Asnières-sur-Seine (92)
This page is insecure (broken HTTPS). SHA-1 deprecated !
« Réponse #5 le: 01 mai 2016 à 20:36:22 »
il ne faut pas prendre ssllab pour argent comptant (il utilise les certificats Root de son propre serveur, aucun interet...)
Pas mal de chose qu'il ne remonte pas.

Chrome commence à être trop strict que pour lui même au fil des mises à jours...
notamment le TLS1.0 couplé à des ciphers obsolètes, la barre verte de certains certificats EV sont carrèment ignorées.

as tu forcé ton le certificat intermédiaire sha2 + root CA dans SSLCertificateChainFile sur ton ssl.conf ?

vivien

  • Administrateur
  • *
  • Messages: 47 080
    • Twitter LaFibre.info
This page is insecure (broken HTTPS). SHA-1 deprecated !
« Réponse #6 le: 01 mai 2016 à 20:41:07 »
Aujourd'hui je suis sur une configuration de ce type avec Apache 2 :
        SSLCertificateFile lafibre.crt
        SSLCertificateKeyFile lafibre.key
        SSLCertificateChainFile sub.class2.server.ca.pem
        SSLCACertificateFile ca.pem

Si j'ai bien compris, je fusionne le .crt et le .pem intermédiaire dans un même fichier :
cp lafibre.crt lafibre.pem
cat sub.class2.server.ca.pem >> lafibre.pem


Je modifie Apache tel que ?
        SSLCertificateFile lafibre.pem
        SSLCertificateKeyFile lafibre.key
        SSLCACertificateFile ca.pem

Amon-Ra

  • Expert.
  • Abonné Free fibre
  • *
  • Messages: 604
  • FTTH 1 Gbit/s à Asnières-sur-Seine (92)
This page is insecure (broken HTTPS). SHA-1 deprecated !
« Réponse #7 le: 01 mai 2016 à 20:45:00 »
le SSLCertificateChainFile doit contenir la totalité de la chaîne de certification sauf le certificat serveur : le certificat intermédiaire, puis le certificat racine (CA Root).

-----BEGIN CERTIFICATE-----
xxxxxxxxxx le certificat intermédiaire (qui a signé le certificat) xxxxxxxxx
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
xxxxxxxxxx le certificat racine (qui a signé le certificat au dessus) xxxxxxxxx
-----END CERTIFICATE-----

ton certificat intermédiaire : https://www.startssl.com/certs/sca.server3.crt
Root CA : https://www.startssl.com/certs/ca-g2.crt
Root CA : https://www.startssl.com/certs/ca.crt

ton sub.class2.server.ca.pem est obsolete d'apres le site startssl

commente la ligne SSLCACertificateFile, elle ne sert à rien car SSLCertificateChainFile existe

l'extension des fichiers n'est pas important

cp sca.server3.crt > lafibre.bundle
cp ca.crt >> lafibre.bundle

   
SSLCertificateFile lafibre.crt
SSLCertificateKeyFile lafibre.key
SSLCertificateChainFile lafibre.bundle
#SSLCACertificateFile ca.pem

si ça ne marche pas, essaie ce Root la : https://www.startssl.com/certs/ca.crt ou https://www.startssl.com/certs/ca-sha2.crt
logiquement il est SHA1 mais google ignore le CA root

(pas mal d'edit) sorry
« Modifié: 01 mai 2016 à 21:20:38 par Amon-Ra »

Amon-Ra

  • Expert.
  • Abonné Free fibre
  • *
  • Messages: 604
  • FTTH 1 Gbit/s à Asnières-sur-Seine (92)
This page is insecure (broken HTTPS). SHA-1 deprecated !
« Réponse #8 le: 01 mai 2016 à 21:06:20 »
openssl s_client -connect lafibre.info:443
Verify return code: 20 (unable to get local issuer certificate)

vivien

  • Administrateur
  • *
  • Messages: 47 080
    • Twitter LaFibre.info
This page is insecure (broken HTTPS). SHA-1 deprecated !
« Réponse #9 le: 01 mai 2016 à 21:07:52 »
Voila, j'ai fusionné mon certificat intermédiaire (class2 dans mon cas) avec ca.pem :

cp sub.class2.server.ca.pem class2.pem
cat ca.pem >> class2.pem


Et j'ai modifié apache2 :
        SSLCertificateFile /etc/ssl/private/lafibre.crt
        SSLCertificateKeyFile /etc/ssl/private/lafibre.key
        SSLCertificateChainFile /etc/ssl/private/class2.pem

C'est mieux ?

Je pense que mon problème est peut être lié au fait que SSLCertificateChainFile est devenue obsolète avec la version 2.4.8 selon la doc Apache2 : https://httpd.apache.org/docs/2.4/fr/mod/mod_ssl.html

vivien

  • Administrateur
  • *
  • Messages: 47 080
    • Twitter LaFibre.info
This page is insecure (broken HTTPS). SHA-1 deprecated !
« Réponse #10 le: 01 mai 2016 à 21:15:16 »
Si je comprends bien la doc Apache, il faut faire une configuration encore plus simple :
        SSLCertificateFile /etc/ssl/private/lafibre.pem
        SSLCertificateKeyFile /etc/ssl/private/lafibre.key

LaFibre.pem est généré via :
cp lafibre.crt lafibre.pem
cat sub.class2.server.ca.pem >> lafibre.pem
cat ca.pem >> lafibre.pem


Il y a donc tout dans un même fichier, c'est bon ?

Amon-Ra

  • Expert.
  • Abonné Free fibre
  • *
  • Messages: 604
  • FTTH 1 Gbit/s à Asnières-sur-Seine (92)
This page is insecure (broken HTTPS). SHA-1 deprecated !
« Réponse #11 le: 01 mai 2016 à 21:18:29 »
Si je comprends bien la doc Apache, il faut faire une configuration encore plus simple :
        SSLCertificateFile /etc/ssl/private/lafibre.pem
        SSLCertificateKeyFile /etc/ssl/private/lafibre.key

LaFibre.pem est généré via :
cp lafibre.crt lafibre.pem
cat sub.class2.server.ca.pem >> lafibre.pem
cat ca.pem >> lafibre.pem


Il y a donc tout dans un même fichier, c'est bon ?

c'est quoi la version de ton apache et ton openssl ?