V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
wujunze
V2EX  ›  SSL

关于网站 SSL 证书的问题

  •  
  •   wujunze · 2016-02-01 22:08:38 +08:00 · 3075 次点击
    这是一个创建于 3210 天前的主题,其中的信息可能已经有所发展或是发生改变。

    我的网站 https://www.wujunze.com 已经配置成全站 HTTPS
    在 mac 下的 chrome URL 网址栏有绿锁图标
    在 Windows 的 360 浏览器上也有绿锁图标
    但是在 Windows 下的 chrome 就有 SSL 证书警告 没有绿锁图标
    请网友们 帮忙看看
    http://i13.tietuku.com/0bcc3f0e2288aace.png(chrome 下的截图)
    http://i13.tietuku.com/63600f721857fc43.png(360 浏览器下的截图)

    21 条回复    2016-02-04 04:30:30 +08:00
    initialdp
        1
    initialdp  
       2016-02-01 22:17:01 +08:00
    我以前用 startSSL 也有类似的问题,估计证书本身有一些缺陷。换到 lets encrypt 就 ok 了,又好又免费。

    另外,如果是 apache 的话,可能有些配置项要特别注意。请参考昨天一个帖子:
    https://www.v2ex.com/t/254584#reply16
    imlonghao
        2
    imlonghao  
       2016-02-01 22:18:19 +08:00
    版本号
    imlonghao
        3
    imlonghao  
       2016-02-01 22:19:19 +08:00
    WoSign 的根证书: PKCS #1 ,带有 RSA 加密的 SHA-1
    zrj766
        4
    zrj766  
       2016-02-01 22:21:51 +08:00 via Android
    SHA1 ? Chrome 遇到这种 SHA1 的都这样,话说沃通、 StarSSL 都有 SHA2 的让你选,为啥选 SHA1 呢。。
    ivmm
        5
    ivmm  
       2016-02-01 22:25:58 +08:00
    OS X chrome 48 带 RSA 加密的 SHA-256
    abelyao
        6
    abelyao  
       2016-02-01 22:27:48 +08:00
    Windows 版 Chrome 48 打开楼主网站一切正常,绿锁
    jugelizi
        7
    jugelizi  
       2016-02-01 22:32:09 +08:00
    同 win64 chrome48 绿色的
    ShinoSaki
        8
    ShinoSaki  
       2016-02-01 22:32:28 +08:00
    看起来配置签名交换的时候允许 SHA1 了

    来试试看下面的配置吧 -> https://doc.ssl.do/page/install-nginx/
    Slienc7
        9
    Slienc7  
       2016-02-01 22:39:51 +08:00
    StartSSL 证书本身没有缺陷,就这个方面来看, StartSSL 提供了 SHA1 以及 SHA2 签名的中级证书供选择,出现这种问题基本都是因为证书链不完整或者配置服务器证书链时使用了 SHA1 的中级证书;
    你的网站在 Chrome 49 Canary 、 Chrome 48 测试显示证书链均正常(即绿锁);
    另参 #reply7 ;
    请贴你的浏览器显示的证书链,
    你的网站 SSLLabs 的 SSL 评分是 F ( https://www.ssllabs.com/ssltest/analyze.html?d=wujunze.com ),建议参考网上别人写的配置文件并做修改。
    wujunze
        10
    wujunze  
    OP
       2016-02-01 23:21:51 +08:00
    @abelyao
    @jugelizi 我使用的 win10 64 位 chrome 版本 46.0.2490.80 m 无绿锁 http://i13.tietuku.com/0bcc3f0e2288aace.png
    wujunze
        11
    wujunze  
    OP
       2016-02-01 23:31:05 +08:00
    @ShinoSaki
    @xgowex 可能是我 nginx 的配置文件写的有问题?
    贴上我的 nginx 配置文件 http://i4.tietuku.com/66d37736821237bb.png 帮忙看看 谢谢
    VmuTargh
        12
    VmuTargh  
       2016-02-02 00:13:38 +08:00
    @wujunze 最好用 gist ……
    abelyao
        13
    abelyao  
       2016-02-02 00:48:12 +08:00
    @wujunze 为啥你总没发现你贴的 chrome 的图是 360 浏览器的,主贴中也一样…
    升级你的浏览器吧骚年,另外要提醒你的是,我朋友之前也用 WoSign 的免费证书,在我的 iPhone 上直接提示不安全,默认打不开(这直接影响了在 QQ 之类的内嵌浏览器程序中,网站就呈空白状态,也不会弹出提示)
    所以… 换个证书吧
    ShinoSaki
        14
    ShinoSaki  
       2016-02-02 01:58:28 +08:00
    @wujunze 最好贴代码呢...图片怎么看喵_(:з」∠)_

    前面给的文档地址最下面有一份完整配置,拿来改改就好了啦
    davidyin
        15
    davidyin  
       2016-02-02 07:55:37 +08:00
    可以参考这个,用自动配置生成器生成最严格的设置。我的就是 A+评分。
    https://seo.g2soft.net/2015/04/23/mozilla-ssl-config-generator.html
    wujunze
        16
    wujunze  
    OP
       2016-02-02 08:28:31 +08:00
    @abelyao 图片贴错了 抱歉 这个是 chrome 下的图片 http://i13.tietuku.com/63600f721857fc43.png
    wujunze
        17
    wujunze  
    OP
       2016-02-02 08:30:40 +08:00
    @ShinoSaki
    @davidyin
    @xgowex 贴上现在我的 nginx 配置文件部分
    server {
    listen 443 ssl;
    ssl on;
    ssl_certificate /root/ssl.crt;
    ssl_certificate_key /root/ssl.key;
    server_name www.wujunze.com wujunze.com;
    if ($host = 'www.wujunze.com' ) {
    rewrite ^/(.*)$ https://wujunze.com/$1 permanent;
    }
    ssl_session_cache shared:SSL:1m;
    ssl_session_timeout 5m;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers ALL:!ADH:!EXPORT56:!RC4+RSA:+HIGH:+MEDIUM:+EXP;
    ssl_prefer_server_ciphers on;
    index index.html index.htm index.php default.html default.htm default.php;
    root /home/wwwroot/www.wujunze.com;

    include typecho.conf;
    #error_page 404 /404.html;
    davidyin
        18
    davidyin  
       2016-02-02 09:48:11 +08:00
    证书链这么长,你的贴图中写了是某个中间证书用了 SHA1
    davidyin
        19
    davidyin  
       2016-02-02 09:52:05 +08:00
    在我的 Win 7 内的 Chrome Version 48.0.2564.97 m 。
    显示有绿色锁,蛮正常的。
    AirSc
        20
    AirSc  
       2016-02-02 09:56:38 +08:00 via Android
    新版的 Chrome 对 sha1 都是这样的。
    dynaguy
        21
    dynaguy  
       2016-02-04 04:30:30 +08:00
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2799 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 14:40 · PVG 22:40 · LAX 06:40 · JFK 09:40
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.