Perché ho un certificato startcom (sha1) sbagliato nella catena sul sito Web di Azure?

Question

mio certificato immediato su https://paper-shape.com ha un debole algoritmo di firma SHA1: https://www.ssllabs.com/ssltest/analyze.html?d=paper-shape.com

ho seguito theses istruzioni. Ho creato il mio file pfx sia per OpenSSL che per procedura guidata di esportazione di certificati.

Il CRT e PEM (certificato immediato da StartCom) sembrano essere ok, perché i seguenti comandi mostra "algoritmo di firma: sha256WithRSAEncryption" su entrambi (CRT e PEM):

$ openssl x509 -text - in paper-shape.com.crt

O qualcosa è andato storto durante il mio processo di creazione pfx o il sito web azzurro ha annullato il mio certificato immediato.

Qualcuno ha un'idea?

Answer 1

È possibile trovare (e catena) l'SHA-256 certificato intermedio per Class-1 in formato PEM, qui: https://www.startssl.com/certs/class1/sha2/pem/sub.class1.server.sha2.ca.pem

Answer 2

Controllare i certificati installati localmente (su Windows, 'certmgr.msc'). Potresti avere una vecchia copia firmata SHA-1 del certificato intermedio StartCom, che è ancora valida (per esempio, al 2017) e utilizzata in preferenza a quella fornita dal server.

Answer 3

Sono stato di fronte a questo stesso problema, stavo per strapparmi i capelli quando il certificato sembrava essere giusto in alcuni browser e sistema operativo e in altri affermava che stavo usando SHA-1 e anche https://shaaaaaaaaaaaaa.com mi stava dicendo che Ho avuto un crt firmato SHA-2.

So! Ecco una grande discussione nel forum StartCom a proposito di questo numero: https://forum.startcom.org/viewtopic.php?f=15&t=15929&st=0&sk=t&sd=a

Il fatto è che il browser utilizza un intermedio crt firmato SHA-1.

La soluzione: è necessario configurare l'Intermadiate crt nel proprio server!

è possibile vedere i dettagli qui: https://sslmate.com/blog/post/chrome_cached_sha1_chains