证书过期和SHA-1

Question

背景:当涉及到证书时，我是一个完全的新手。

我们有一个运行在https://global.projacked.com上的站点

该证书由AWS颁发。

对于我们的大多数客户来说，一切都很好，但是...

其中一个正在经历以下情况：

​

​

​

​

​

当我点击“查看证书”时，我会看到：

​

所以问题是:我们能做些什么来实现这个目标吗？

如果没有:我可以告诉我的客户做什么才能使其正常工作？这是他们更新证书的问题吗？或者可能是因为它们位于安全网络(例如VPN)中？

非常感谢您的帮助

Answer 1

您的网站global.projacked.com正在提供valid SHA-256 certificate服务。报告此问题的客户似乎正在被某种MITM软件或设备截获和检查其HTTPS流量(他们看到的证书上的颁发者-- apotex-CA --泄露了它)。MITMing实体正在生成一个受客户浏览器信任的证书，但它碰巧是一个SHA-1证书，导致Chrome抱怨。

你不能做任何事情来解决他们的问题。许多MITM软件供应商都发布了创建SHA-256证书的更新，以避免出现此类情况。他们可能会检查是否有可以安装生成SHA-256证书的更新，或者读取this或this以查看是否真的需要拦截和检查TLS流量。可悲的是，我见过一些组织，这个问题的“解决方案”是安装一个不关心SHA-1证书的旧版本Chrome，并禁用自动更新。毕竟，把你的头埋在沙子里是非常好的，可以屏蔽所有关于安全这个小东西的噪音。

Answer 2

证书颁发者应该能够根据SHA-256颁发证书。然后，您需要替换服务器上的证书。

一些证书颁发机构可以给你新的证书作为旧证书的重新发布，一些证书颁发机构将需要CSR (证书签名请求)，它可以基于现有的私钥构建，私钥可能也驻留在服务器上。