Ein + Rating ist nach Meinung von Google Chrome immer noch unsicher

Ich Provisioning meinen Server auf DigitalOcean , und obwohl ich ein A + Rating von ssllabs bin immer,

https://www.ssllabs.com/ssltest/analyze.html?d=zandu.biz

Wenn ich eine Verbindung zu meiner Website https://www.zandu.biz oder https://zandu.biz herstelle , wird in Chrome eine unsichere Benachrichtigung angezeigt.

Wie löse ich das?

ssl apache-2.4 lets-encrypt

— Der Architekt
quelle

Dieser Server konnte nicht beweisen, dass es sich um www.zandu.biz handelt. Das Sicherheitszertifikat stammt von zandu.biz. Dies kann durch eine Fehlkonfiguration oder einen Angreifer verursacht werden, der Ihre Verbindung abfängt.

Der Name im Zertifikat Ihrer Site lautet zandu.biz und gilt nicht für einen anderen Namen (www.zandu.biz). Darüber hinaus haben Sie eine Weiterleitung von zandu.biz zu www.zandu.biz. Wenn Sie also den Namen verwenden, ist das Zertifikat gültig, da es zu dem Namen umleitet, der es nicht ist.

Sie benötigen ein Zertifikat mit beiden Namen .

— zrm
quelle

Platzhalterzertifikate können bequemer oder notwendiger sein, wenn die Namen, die Sie verwenden möchten, nicht im Voraus bekannt sind. Sie erhöhen jedoch auch Ihre Gefährdung, wenn der zugehörige private Schlüssel kompromittiert wird, da der Angreifer dann einen beliebigen Namen in Ihrer Domain fälschen kann und nicht nur die, die der Server tatsächlich verwendet hat.

— Zrm

Let's Encrypt ist eine Zertifizierungsstelle. Als sie anfingen, wurden sie von IdenTrust gegenseitig signiert, aber das endet im Jahr 2020, da ihr eigenes Stammzertifikat mittlerweile weitgehend vertrauenswürdig ist. Nichts davon hat etwas mit Ihrem Problem zu tun, was in beiden Fällen gleich gewesen wäre.

— Zrm

s / Common Name / Alternativer Name / - Chrome verwendet nicht Common Name überhaupt für 2 Jahre; Andere Browser tun dies nur, wenn kein SAN vorhanden ist. Dies gilt seit 2010 nicht mehr für EE-Zertifikate von öffentlichen Zertifizierungsstellen. Sie können es jedoch auch für selbst erstellte Testzertifikate arrangieren. Genau aus diesem Grund können Sie ein Zertifikat für mehrere Domains erhalten - alte Zertifikate, die nur Common Name verwenden, konnten dies nicht.

— Dave_thompson_085

@djdomi Ein Platzhalterzertifikat für *.example.comnoch deckt nicht die nackte Domain ab example.com. Sie benötigen noch zwei Werte im SAN.

— Michael - sqlbot

Der größere Grund, ein Platzhalterzertifikat zu vermeiden, besteht darin, dass OP LetsEncrypt verwendet. Während LetsEncrypt Platzhalterzertifikate unterstützt, erfordert dies eine DNS-Abfrage. Das Erfüllen einer DNS-Herausforderung ist schwieriger zu automatisieren. Die Automatisierung einer DNS-Herausforderung kann auch bedeuten, dass ein gefährdeter Server Angreifern Zugriff auf Ihr DNS gewährt. Es reicht also aus, entweder ein UCC-Zertifikat oder zwei Zertifikate zu verwenden (welcher Ansatz spielt keine große Rolle. Tun Sie, was einfacher ist).

— Brian