Certificado SSL no válido en Chrome

Para el sitio web scirra.com ( haga clic para ver los resultados de la prueba del servidor SSL Labs ) Google Chrome informa el siguiente icono:

Es un EV SSL, y parece funcionar bien en Firefox e Internet Explorer, pero no en Chrome. ¿Cuál es la razón para esto?

Lo que ves ahora no es la "barra de direcciones verde" que esperarías con un certificado EV, sino lo siguiente:

El motivo es el siguiente anuncio en el blog de Google Online Security :

Se sabe que el algoritmo hash criptográfico SHA-1 es considerablemente más débil de lo que fue diseñado desde al menos 2005 - hace 9 años. Los ataques de colisión contra SHA-1 son demasiado asequibles para que los consideremos seguros para la PKI web pública. Solo podemos esperar que los ataques sean más baratos.

Es por eso que Chrome comenzará el proceso de puesta de sol SHA-1 (como se usa en las firmas de certificados para HTTPS) con Chrome 39 en noviembre. ... Los sitios con certificados de entidad final que vencen entre el 1 de junio de 2016 y el 31 de diciembre de 2016 (inclusive), y que incluyen una firma basada en SHA-1 como parte de la cadena de certificados, serán tratados como "seguros, pero con menor importancia errores ".

El "seguro pero con errores menores" se indica mediante la señal de advertencia en el candado y la configuración de seguridad desactualizada en el mensaje extendido es el hecho de que el certificado se basa en el algoritmo hash SHA-1.

Lo que debe hacer es lo siguiente:

Genere una nueva clave privada con un hash SHA-256 y una nueva Solicitud de firma de certificado (CSR) y haga que su proveedor SSL le vuelva a emitir un nuevo certificado. Con los certificados EV, una nueva emisión generalmente requiere más o menos los mismos aros por los que tuvo que pasar para obtener el certificado inicialmente, pero debe obtener un nuevo certificado válido hasta la misma fecha de vencimiento del certificado actual sin cargo adicional.

En openssl usarías algo como la siguiente línea de comando:

openssl req -nodes -sha256 -newkey rsa:2048 -keyout www.scirra.com.sha256.key -out www.scirra.com.sha256.csr

Esto se debe al plan de extinción de Google para SHA-1 .

• No hay preocupación de seguridad inmediata.
• SHA-2 es el algoritmo de hash recomendado actual para SSL. No se han reportado infracciones con los certificados que usan SHA-1.
• La visualización de indicadores de IU degradados en Chrome 39 y versiones posteriores es parte del plan de desactivación SHA-1 de Google y se aplicará a todas las Autoridades de certificación (CA).
• La IU degradada solo será visible para los usuarios de Chrome 39 y versiones posteriores, no para versiones anteriores. Póngase en contacto con su proveedor de SSL después de que su administrador de sistemas localice su clave privada existente (en su servidor web), y realizarán una reemisión de certificado con SHA-2 de forma gratuita. Necesitará una nueva CSR.

Lo siguiente creará una nueva CSR en OSX / Linux si OpenSSL está instalado (consulte los campos de su Certificado SSL existente ya que el dominio (también conocido como "Nombre común") debe permanecer igual:

Linux / OSX:

openssl req -new -sha256 -key myexistingprivate.key -out newcsr.csr

Para Windows, vea este artículo de TechNet .

En este punto, es posible que deba ponerse en contacto con su proveedor para obtener ayuda, si no ve una opción de reemisión a través de su portal SSL. El sitio web de Comodo busca detalles sobre cómo hacer esto si no es suficiente información para usted.

Una vez que se instala el certificado SHA-2, esto eliminará el "problema" que ve en Chrome.

Necesita el certificado SHA2 para que desaparezca. Más información sobre Puesta de sol gradual SHA-1