Eu tenho um certificado de domínio curinga do StartSSL para um site ( https://later.webblocks.nl/ ).
Quando eu verifico em qualquer navegador no meu PC doméstico, está tudo bem. (Bloqueio verde no Chrome.) Quando eu verifico no Chrome no meu PC de trabalho, não é bom:
A página carrega como nenhum problema. Não há outras solicitações, portanto, nada sobre HTTP. Ele usa protocolos seguros, etc. Verifiquei a conexão no SSL Labs e no Global Sign e eles concordam que é perfeitamente seguro.
No mesmo computador, outros navegadores estão bem com ele. Em outros computadores, o Chrome também está bem com isso. Tentei reiniciar, liberar caches, modo de navegação anônima, etc. Nada muda.
Não é um problema real para mim, porque sei que é seguro, mas ainda é irritante.
Alguma ideia?
PS. O Chrome fez algo assim há algum tempo com o Windows XP: de repente, os sites ficaram 'inseguros' porque os protocolos do Windows não eram seguros. Ambos os PCs são Windows 7 e a mesma versão do Chrome, então provavelmente não é isso...
Mais informações:
Por algum motivo, os 2 computadores têm cadeias de certificados diferentes. O certificado de domínio e o certificado raiz são os mesmos, mas o intermediário é diferente. No meu PC doméstico ele usa sha2, no meu PC de trabalho ele usa sha1. O intermediário está incluído no certificado do servidor (que possui sha2), o que é estranho. Todos os verificadores SSL detectam apenas o certificado intermediário sha2. O que está acontecendo!?
O motivo é explicado no fórum da StartCOM:
https://forum.startcom.org/viewtopic.php?f=15&t=15929&p=21716
E no Chrome:
https://code.google.com/p/chromium/issues/detail?id=473105
É realmente SHA1.
É devido ao cache de certificados do Windows ou do Chrome. Como eles (antigo e novo certificado intermediário) têm o mesmo nome, o cliente usará a variante em cache, que pode ser antiga e SHA1. A nomenclatura é culpa do StartCOM. O cache incorreto é culpa do Windows ou do Chrome. Eles não estão trabalhando muito para consertá-lo.
Os verificadores SSL não têm o mesmo problema, porque não usam nada armazenado em cache .
Computadores diferentes têm resultados diferentes, porque o cache é local.
A solução (muito específica, local) no fórum StartCom funciona para mim: limpar o certificado do cache local, para acionar o novo download do novo certificado, mas não é realmente uma solução para todos os outros usuários. (No meu caso, apenas alguns, então não há problema.)
Acredito que isso possa ter a ver com a depreciação do SHA-1 . No início deste ano, o Google fez uma alteração em seu navegador Chrome 41. Assim, 'sites com certificados de entidade final que expiram em ou após 1º de janeiro de 2017 e que incluem uma assinatura baseada em SHA1 como parte da cadeia de certificados serão tratados como “afirmativamente inseguro”'. Certificados raiz confiáveis usando SHA1 não são afetados. Os clientes confiam neles para fins de identidade e não pela força de seu algoritmo de assinatura'. Esta foi uma citação direta do link acima.
Verifiquei seu certificado - ele expira após 01/2017 e, embora o certificado do seu domínio tenha sido assinado usando SHA-2, o certificado de cadeia intermediária para 'StartCom Class 2 Primary Intermediate Server CA' que você está usando usa o algoritmo de assinatura SHA-1. O intermediário também expira após 01/2017.
Desculpe, teria adicionado como um comentário, mas não é representante suficiente. Veja aqui: https://security.stackexchange.com/questions/52834/what-exactly-does-it-mean-when-chrome-reports-a-certificate-does-not-have-publi