startssl 的 CA 是 sha1 签名的，所以在最新版的 chrome 中被认为不安全了

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

Certbot 使用文档

Dehydrated

Stay.live 证书有效期监控

HTTP Strict Transport Security

What's My Chain Cert?

Certificate Search by Comodo

这是一个创建于 3770 天前的主题，其中的信息可能已经有所发展或是发生改变。

刚从startssl官网重新拉了一次证书链发现还是sha1。不过签给我的证书是sha2没错……

绿锁变黄了，有啥解决办法么？比如更新系统里面的CA啥的？

第 1 条附言 2015-08-15 12:50:40 +08:00

已解决

将sha2的startSSL 导入windows的CA证书区，重新变回绿锁了

StartSSL

SHA1

12 条回复 2015-08-16 12:58:17 +08:00

TheJuli

2015-08-15 04:42:23 +08:00

配置证书的时候不要把顶级那个 Root CA 贴进去试试?

shierji

2015-08-15 06:40:41 +08:00 via Android

不介意的话可以先用wosign

xiaopc

2015-08-15 08:07:35 +08:00 via Android

http://www.startssl.com/certs/ca-sha2.pem

lyragosa

2015-08-15 11:31:14 +08:00

@TheJuli 无论用不用ROOT的CA，都显示有两级证书链然后都是sha1

@xiaopc 这个用了也不好使……估计浏览器调用了系统的CA？

xiaopc

2015-08-15 11:54:48 +08:00

@lyragosa chrome有SSL缓存。

https://ooo.0o0.ooo/2015/08/15/55ceb76559cc9.png

https://www.ssllabs.com/ssltest/analyze.html?d=www.linodas.com&s=106.185.55.152

lyragosa

2015-08-15 12:15:46 +08:00

@lyragosa 感谢，不过强迫症看起来好不爽……
我看看如何更新这缓存……

gonghao

2015-08-15 13:18:38 +08:00

我的 AlphaSSL 的 CA 也是 sha1 然后同样 chrome 下红两道杠

imlonghao

2015-08-15 13:36:39 +08:00

@gonghao 应该可以更新你crt里面的上级证书的。

gonghao

2015-08-15 14:14:28 +08:00

@imlonghao 我去 GlobalSign 看了，AlphaSSL 用的是 GlobalSign CA - R1 那个只有 sha1 直接无奈~~而且也没发现 AlphaSSL 有更新的计划……

xiaopc

2015-08-15 17:28:09 +08:00 via Android

@gonghao chrome 44.0.2403.155 打开你的博客是绿锁啊…

xiaopc

2015-08-15 18:12:16 +08:00 via iPad

@gonghao Chrome 不会检查根证书是否是 SHA1 的...
https://community.qualys.com/blogs/securitylabs/2014/09/09/sha1-deprecation-what-you-need-to-know

gonghao

2015-08-16 12:58:17 +08:00

@xiaopc 我是 Version 46.0.2478.0 dev (64-bit) 红杠~