Google Chromeの意見により、A +の評価は依然として安全ではありません

回答:

48

このサーバーは、www.zandu.bizであることを証明できませんでした。そのセキュリティ証明書はzandu.bizからのものです。これは、設定の誤りまたは攻撃者が接続を妨害していることが原因である可能性があります。

サイトの証明書の名前はzandu.bizですが、これは別の名前(www.zandu.biz)では無効です。さらに、zandu.bizからwww.zandu.bizへのリダイレクトがあるので、名前を使用すると、証明書は有効であり、有効ではない名前にリダイレクトされます。

必要なのは、両方の名前の証明書を取得することです。

ZRM
ソース
4
ワイルドカード証明書は、使用する予定の名前が事前に実際に知られていない場合に便利です。ただし、関連付けられている秘密キーが危険にさらされている場合、攻撃者はサーバーが実際に使用している名前だけでなく、ドメイン内の任意の名前を偽造できるため、危険性も高まります。
zrm
4
Let's EncryptはCAです。彼らが最初に始めたとき、彼らはIdenTrustによって相互署名されましたが、独自のルート証明書が現在広く信頼されているため、2020年に終了します。それはあなたの問題とは何の関係もありません。どちらも同じでした。
zrm
8
S /共通名/サブジェクトの別名/ -クロム共通名を使用していないすべてで 2年間。他のブラウザーは、SANが存在しない場合にのみこれを行います。これは、2010年より前のパブリックCAからの(EE)証明書には当てはまりませんが、自分で作成したテスト証明書に配置することはできます。これがまさに、複数のドメインに対して1つの証明書を取得できる理由です。共通名のみを使用する古い証明書ではそれができませんでした。
dave_thompson_085
12
@djdomiのワイルドカード証明書は*.example.com、ベアドメインをまだカバーしていませんexample.com。SANにはまだ2つの値が必要です。
マイケル-sqlbot
4
ワイルドカード証明書を回避する大きな理由は、OPがLetsEncryptを使用していることです。LetsEncryptはワイルドカード証明書をサポートしていますが、これにはDNSチャレンジが必要です。DNSチャレンジを満たすことは、自動化が困難です。また、DNSチャレンジを自動化すると、侵害されたサーバーが攻撃者にDNSへのアクセスを許可する可能性があります。そのため、UCC証明書または2つの証明書を使用するだけで十分です(どちらの方法でもかまいません。どちらか簡単な方をしてください)。
ブライアン
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.