ChromeではSSL証明書が無効です

Webサイトscirra.com（SSL Labs Serverのテスト結果についてはクリック）の場合、Google Chromeは次のアイコンを報告します。

これはEV SSLであり、FirefoxとInternet Explorerでは正常に機能するようですが、Chromeでは機能しません。これの理由は何ですか？

現在表示されているのは、EV証明書で期待される「緑のアドレスバー」ではなく、次のようなものです。

その理由は、Google Online Securityブログでの次の発表です。

SHA-1暗号化ハッシュアルゴリズムは、少なくとも2005年から9年前に設計されたものよりもかなり弱いことが知られています。SHA-1に対する衝突攻撃は手ごろな価格であり、パブリックWeb PKIに対して安全であるとは考えられません。攻撃が安くなることだけが期待できます。

Chromeが11月にChrome 39でSHA-1（HTTPSの証明書署名で使用される）の廃止プロセスを開始するのはそのためです。...エンドエンティティ証明書が2016年6月1日から2016年12月31日（両端を含む）の間に期限切れで、証明書チェーンの一部としてSHA-1ベースの署名が含まれているサイトは、「安全ですがマイナーエラー」。

「安全であるが軽微なエラーあり」は、南京錠の警告サインによって示され、拡張メッセージの古いセキュリティ設定は、証明書がSHA-1ハッシュアルゴリズムに依存しているという事実です。

次のことを行う必要があります。

SHA-256ハッシュと新しい証明書署名要求（CSR）を使用して新しい秘密鍵を生成し、SSLプロバイダーに新しい証明書を再発行してもらいます。EV証明書の場合、再発行には通常、最初に証明書を取得するためにジャンプしなければならなかったのとほぼ同じ要領が必要ですが、新しい証明書は、現在の証明書と同じ有効期限まで、追加料金なしで、またはほとんど追加せずに有効です。

opensslでは、次のコマンドラインのようなものを使用します。

openssl req -nodes -sha256 -newkey rsa:2048 -keyout www.scirra.com.sha256.key -out www.scirra.com.sha256.csr

これは、GoogleによるSHA-1の廃止計画が原因です。

• 直接的なセキュリティの問題はありません。
• SHA-2は、SSLの現在推奨されているハッシュアルゴリズムです。SHA-1を使用した証明書の違反は報告されていません。
• Chrome 39以降での劣化したUIインジケーターの表示は、GoogleのSHA-1廃止計画の一部であり、すべての認証局（CA）に適用されます。
• 機能低下したUIはChrome 39以降のユーザーにのみ表示され、以前のバージョンでは表示されません。システム管理者に（Webサーバー上の）既存の秘密鍵を見つけさせたら、SSLベンダーに連絡してください。そうすれば、SHA-2で証明書の再発行が無料で行われます。新しいCSRが必要になります。

以下は、OpenSSLがインストールされている場合、OSX / Linuxに新しいCSRを作成します（ドメイン（別名「共通名」）は同じままである必要があるため、既存のSSL証明書フィールドを参照してください）。

Linux / OSX：

openssl req -new -sha256 -key myexistingprivate.key -out newcsr.csr

Windowsについては、こちらのTechNet記事を参照してください。

SSLポータルで再発行オプションが表示されない場合は、この時点でベンダーに連絡する必要があるかもしれません。コモドのウェブサイトは、これがあなたにとって十分な情報ではない場合、これを行う方法を詳しく説明しているようです。

SHA-2証明書をインストールすると、Chromeに表示される「問題」が取り除かれます。

非表示にするには、SHA2証明書が必要です。 SHA-1の段階的な廃止に関する詳細