关于网站 SSL 证书的问题

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

› Certbot 使用文档

› Dehydrated

› Stay.live 证书有效期监控

› HTTP Strict Transport Security

› OpenSSL 官网

› Qualys SSL Test

› 证书链补全工具

› 在线 CSR 生成工具

› SSL 云监控

› What's My Chain Cert?

› Certificate Search by Comodo

这是一个创建于 3214 天前的主题，其中的信息可能已经有所发展或是发生改变。

我的网站 https://www.wujunze.com 已经配置成全站 HTTPS
在 mac 下的 chrome URL 网址栏有绿锁图标
在 Windows 的 360 浏览器上也有绿锁图标
但是在 Windows 下的 chrome 就有 SSL 证书警告没有绿锁图标
请网友们帮忙看看
http://i13.tietuku.com/0bcc3f0e2288aace.png(chrome 下的截图)
http://i13.tietuku.com/63600f721857fc43.png(360 浏览器下的截图)

SSL

图标

Chrome

Windows

21 条回复 • 2016-02-04 04:30:30 +08:00

initialdp

2016-02-01 22:17:01 +08:00

我以前用 startSSL 也有类似的问题，估计证书本身有一些缺陷。换到 lets encrypt 就 ok 了，又好又免费。

另外，如果是 apache 的话，可能有些配置项要特别注意。请参考昨天一个帖子：
https://www.v2ex.com/t/254584#reply16

imlonghao

2016-02-01 22:18:19 +08:00

版本号

imlonghao

2016-02-01 22:19:19 +08:00

WoSign 的根证书： PKCS #1 ，带有 RSA 加密的 SHA-1

zrj766

2016-02-01 22:21:51 +08:00 via Android

SHA1 ？ Chrome 遇到这种 SHA1 的都这样，话说沃通、 StarSSL 都有 SHA2 的让你选，为啥选 SHA1 呢。。

ivmm

2016-02-01 22:25:58 +08:00

OS X chrome 48 带 RSA 加密的 SHA-256

abelyao

2016-02-01 22:27:48 +08:00

Windows 版 Chrome 48 打开楼主网站一切正常，绿锁

jugelizi

2016-02-01 22:32:09 +08:00

同 win64 chrome48 绿色的

ShinoSaki

2016-02-01 22:32:28 +08:00

看起来配置签名交换的时候允许 SHA1 了

来试试看下面的配置吧 -> https://doc.ssl.do/page/install-nginx/

Slienc7

2016-02-01 22:39:51 +08:00

StartSSL 证书本身没有缺陷，就这个方面来看， StartSSL 提供了 SHA1 以及 SHA2 签名的中级证书供选择，出现这种问题基本都是因为证书链不完整或者配置服务器证书链时使用了 SHA1 的中级证书；
你的网站在 Chrome 49 Canary 、 Chrome 48 测试显示证书链均正常（即绿锁）；
另参 #reply7 ；
请贴你的浏览器显示的证书链，
你的网站 SSLLabs 的 SSL 评分是 F （ https://www.ssllabs.com/ssltest/analyze.html?d=wujunze.com ），建议参考网上别人写的配置文件并做修改。

wujunze

2016-02-01 23:21:51 +08:00

@abelyao
@jugelizi 我使用的 win10 64 位 chrome 版本 46.0.2490.80 m 无绿锁 http://i13.tietuku.com/0bcc3f0e2288aace.png

wujunze

2016-02-01 23:31:05 +08:00

@ShinoSaki
@xgowex 可能是我 nginx 的配置文件写的有问题？
贴上我的 nginx 配置文件 http://i4.tietuku.com/66d37736821237bb.png 帮忙看看谢谢

VmuTargh

2016-02-02 00:13:38 +08:00

@wujunze 最好用 gist ……

abelyao

2016-02-02 00:48:12 +08:00

@wujunze 为啥你总没发现你贴的 chrome 的图是 360 浏览器的，主贴中也一样…
升级你的浏览器吧骚年，另外要提醒你的是，我朋友之前也用 WoSign 的免费证书，在我的 iPhone 上直接提示不安全，默认打不开（这直接影响了在 QQ 之类的内嵌浏览器程序中，网站就呈空白状态，也不会弹出提示）
所以… 换个证书吧

ShinoSaki

2016-02-02 01:58:28 +08:00

@wujunze 最好贴代码呢...图片怎么看喵_(:з」∠)_

前面给的文档地址最下面有一份完整配置，拿来改改就好了啦

davidyin

2016-02-02 07:55:37 +08:00

可以参考这个，用自动配置生成器生成最严格的设置。我的就是 A+评分。
https://seo.g2soft.net/2015/04/23/mozilla-ssl-config-generator.html

wujunze

2016-02-02 08:28:31 +08:00

@abelyao 图片贴错了抱歉这个是 chrome 下的图片 http://i13.tietuku.com/63600f721857fc43.png

wujunze

2016-02-02 08:30:40 +08:00

@ShinoSaki
@davidyin
@xgowex 贴上现在我的 nginx 配置文件部分
server {
listen 443 ssl;
ssl on;
ssl_certificate /root/ssl.crt;
ssl_certificate_key /root/ssl.key;
server_name www.wujunze.com wujunze.com;
if ($host = 'www.wujunze.com' ) {
rewrite ^/(.*)$ https://wujunze.com/$1 permanent;
}
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers ALL:!ADH:!EXPORT56:!RC4+RSA:+HIGH:+MEDIUM:+EXP;
ssl_prefer_server_ciphers on;
index index.html index.htm index.php default.html default.htm default.php;
root /home/wwwroot/www.wujunze.com;

include typecho.conf;
#error_page 404 /404.html;

davidyin

2016-02-02 09:48:11 +08:00

证书链这么长，你的贴图中写了是某个中间证书用了 SHA1

davidyin

2016-02-02 09:52:05 +08:00

在我的 Win 7 内的 Chrome Version 48.0.2564.97 m 。
显示有绿色锁，蛮正常的。

AirSc

2016-02-02 09:56:38 +08:00 via Android

新版的 Chrome 对 sha1 都是这样的。

dynaguy

2016-02-04 04:30:30 +08:00

F, 太惨了！

https://www.ssllabs.com/ssltest/analyze.html?d=wujunze.com