SHA1 trotz SHA2

TopTobi · 09. Mrz 2015

Hallo,

Ich habe mir heute ein SSL Zertifikat bei StartSSL erstellt. Haut auch soweit alles super funktioniert.

Eines verstehe ich allerdings nicht. Im DSM wird wie gewünscht SHA256 als Signaturalgorithmus angezeigt. Chrome meckert aber das die Webseite eine veraltete Sicherheitseinstellung SHA1 verwendet.

Das hier beschriebene habe ich bereits durchgeführt, ohne Erfolg.

Was habe ich falsch gemacht?

Frogman · 09. Mrz 2015

TopTobi schrieb:
...Das hier beschriebene habe ich bereits durchgeführt, ohne Erfolg.

Was habe ich falsch gemacht?

Um das beantworten zu können, müsstest Du erst einmal schildern, was Du genau durchgeführt hast.

Frogman · 09. Mrz 2015

Um Deine Zertifikatskette anzuschauen, kannst Du Deine DS auch mal bei www.ssllabs.com durchlaufen lassen.
Wenn Du das korrekte SHA2-Intermediate nutzt, siehst Du das in den Einträgen (rot umrandet).

Hast Du die chain_256 aus meinem Post genommen, dann hast Du zwei Zertifikatsketten, wobei in beiden das SHA2-Intermediate als das Signierzertifikat Deines Serverzertifikats auftaucht:
die erste im oberen Teil, die beim SHA2-Root-Zertifikat von StartCom endet (blau umrandet), was sich im Truststore bei den SSLLabs befindet.
Außerdem hast Du noch eine zweite Zertifikatskette (der untere Teil), die bei dem "alten" SHA1-Root-Zertifikat von StartCom endet, was Du zum einen über die chain_256 mitsendest, was aber außerdem auch im Truststore bei den SSLLabs liegt.

Zum Fehler in Chrome:
keine Ahnung, ob der ähnlich dem Firefox ein Zertifikatscache führt. Eventuell muss man den leeren.

Frogman · 09. Mrz 2015

So, ich habe eben mal das Zertifikat angeschaut, was Dein Server ausliefert. Es enthält das korrekte SHA2-Intermediate.
Allerdings läßt sich Deine Seite nicht bei den SSLLabs prüfen, da scheint doch der Wurm in Deiner Konfiguration unterwegs zu sein:

TopTobi · 09. Mrz 2015

Danke

Ja sry das liegt an der Firewall. Da ich selten im Ausland unterwegs bin, sind nur Verbindung aus Deutschland zugelassen. Habe soeben freigegeben und getestet.

So siehts bei mir aus. Verstehe noch immer nicht warum Chrome da diese Warnung angezeigt. So störend ist das jetzt nicht, mich interessiert es nur.

Frogman · 09. Mrz 2015

Ich habe mal ein wenig gesucht - es scheint kein Einzelfall zu sein, eventuell hat Chrome da aktuell noch einen Bug und meldet Seiten trotz SHA2-Signatur des Zertifikats.
Auf Deiner DS ist jedenfalls alles i.O.

TopTobi · 09. Mrz 2015

Gut dann bin ich erstmal froh und vielen Dank für deine Hilfe.

TopTobi · 12. Mrz 2015

Mittlerweile wird die Meldung nicht mehr angezeigt, hat wahrscheinlich einfach etwas Zeit benötigt.

Suche

SHA1 trotz SHA2

TopTobi

Benutzer

Frogman

Benutzer

Frogman

Benutzer

Frogman

Benutzer

TopTobi

Benutzer

Frogman

Benutzer

TopTobi

Benutzer

TopTobi

Benutzer

Kaffeautomat