- Let’s encrypt обслуживает почти 30% доменов
- Rsa sha-2 (under sha-1 root) intermediate ca
- Rsa sha-2 (under sha-1 root) root ca
- Thawte rsa ca 2021 certificate – a3c85e6554e53078c105ea070a6a59ccb9fede5a
- Как исправить сообщение «центр сертификации сервера ssl не является доверенным» в браузере? – 2 ответа
- Установка ssl-сертификата от thawte – база знаний ucoz
- Цепочки сертификатов для comodo
- Цепочки сертификатов для geotrust
- Цепочки сертификатов для thawte
- Цепочки сертификатов для verisign
Let’s encrypt обслуживает почти 30% доменов
193590544 null 47237383 C=US, O=Let’s Encrypt, CN=Let’s Encrypt Authority X3 13367305 C=US, O=DigiCert Inc, OU=www.digicert.com, CN=DigiCert SHA2 High Assurance Server CA 13092572 C=GB, ST=Greater Manchester, L=Salford, O=COMODO CA Limited, CN=COMODO RSA Domain Validation Secure Server CA 10081610 C=US, O=Google Trust Services, CN=Google Internet Authority G3 7048258 C=US, ST=TX, L=Houston, O=cPanel, Inc., CN=cPanel, Inc. Certification Authority 6772537 C=GB, ST=Greater Manchester, L=Salford, O=Sectigo Limited, CN=Sectigo RSA Domain Validation Secure Server CA 4946970 C=US, O=DigiCert Inc, OU=www.digicert.com, CN=RapidSSL RSA CA 2021 3926261 C=GB, ST=Greater Manchester, L=Salford, O=COMODO CA Limited, CN=COMODO ECC Domain Validation Secure Server CA 2 3727005 C=US, ST=Arizona, L=Scottsdale, O=GoDaddy.com, Inc., OU=http://certs.godaddy.com/repository/, CN=Go Daddy Secure Certificate Authority — G2 3483129 C=US, ST=Arizona, L=Scottsdale, O=Starfield Technologies, Inc., OU=http://certs.starfieldtech.com/repository/, CN=Starfield Secure Certificate Authority — G2 3404488 C=US, ST=CA, L=San Francisco, O=CloudFlare, Inc., CN=CloudFlare Inc ECC CA-2 2523036 C=US, O=Amazon, OU=Server CA 1B, CN=Amazon 2498667 C=US, O=DigiCert Inc, OU=www.digicert.com, CN=Thawte TLS RSA CA G1 2431104 C=BE, O=GlobalSign nv-sa, CN=GlobalSign Domain Validation CA — SHA256 — G2 2422131 C=BE, O=GlobalSign nv-sa, CN=AlphaSSL CA — SHA256 — G2 2310140 C=US, O=DigiCert Inc, CN=DigiCert SHA2 Secure Server CA 1791127 C=US, O=DigiCert Inc, OU=www.digicert.com, CN=Encryption Everywhere DV TLS CA — G1 1298054 C=GB, ST=Greater Manchester, L=Salford, O=COMODO CA Limited, CN=COMODO RSA Organization Validation Secure Server CA 1019337 C=US, O=DigiCert Inc, OU=www.digicert.com, CN=GeoTrust RSA CA 2021 853367 C=US, O=DigiCert Inc, CN=DigiCert ECC Secure Server CA 842994 C=US, ST=Someprovince, L=Sometown, O=none, OU=none, CN=localhost, emailAddress=webmaster@localhost 828175 C=CH, L=Schaffhausen, O=Plesk, CN=Plesk, emailAddress=info@plesk.com 800601 C=US, O=DigiCert Inc, OU=www.digicert.com, CN=Thawte RSA CA 2021 736336 C=BE, O=GlobalSign nv-sa, CN=GlobalSign Organization Validation CA — SHA256 — G2 679798 C=FR, ST=Paris, L=Paris, O=Gandi, CN=Gandi Standard SSL CA 2 648187 OU=Default Web server, CN=www.example.com, emailAddress=postmaster@example.com 572342 C=–, ST=SomeState, L=SomeCity, O=SomeOrganization, OU=SomeOrganizationalUnit, CN=server.ab-archive.net, emailAddress=root@server.ab-archive.net 546456 C=DE, ST=Bayern, L=Muenchen, O=ispgateway, CN=webserver.ispgateway.de, emailAddress=hostmaster@ispgateway.de 501592 C=US, ST=Virginia, L=Herndon, O=Parallels, OU=Parallels Panel, CN=Parallels Panel, emailAddress=info@parallels.com 501093 C=US, ST=California, O=DreamHost, CN=sni.dreamhost.com 480468 C=CN, O=TrustAsia Technologies, Inc., OU=Domain Validated SSL, CN=TrustAsia TLS RSA CA 468190 C=BE, O=GlobalSign nv-sa, CN=GlobalSign CloudSSL CA — SHA256 — G3 464242 C=–, ST=SomeState, L=SomeCity, O=SomeOrganization, OU=SomeOrganizationalUnit, CN=localhost.localdomain, emailAddress=root@localhost.localdomain 455067 C=PL, O=home.pl SA, CN=Certyfikat SSL 445550 C=US, O=DigiCert Inc, OU=www.digicert.com, CN=Encryption Everywhere DV TLS CA — G2 417062 C=PL, O=Unizeto Technologies SA, OU=Certum Certification Authority, CN=Certum Domain Validation CA SHA2 416966 C=JP, ST=Tokyo, L=Chiyoda-ku, O=Gehirn Inc., CN=Gehirn Managed Certification Authority — RSA DV 384480 C=IT, ST=Bergamo, L=Ponte San Pietro, O=Actalis SpA/03358520967, CN=Actalis Organization Validated Server CA G2 368708 C=JP, ST=OSAKA, L=OSAKA, O=SecureCore, CN=SecureCore RSA DV CA 353716 C=US, O=DigiCert Inc, OU=www.digicert.com, CN=RapidSSL TLS RSA CA G1 343034 C=US, O=DigiCert Inc, CN=DigiCert Global CA G2 278170 C=PL, O=nazwa.pl sp. z oo, OU=http://nazwa.pl, CN=nazwaSSL 267784 C=US, ST=Illinois, L=Chicago, O=Trustwave Holdings, Inc., CN=Trustwave Organization Validation SHA256 CA, Level 1, emailAddress=ca@trustwave.com 251987 C=IT, ST=Bergamo, L=Ponte San Pietro, O=Actalis SpA/03358520967, CN=Actalis Domain Validation Server CA G2 244273 C=JP, O=Cybertrust Japan Co., Ltd., CN=Cybertrust Japan Public CA G3 236608 C=US, ST=Washington, L=Seattle, O=Odin, OU=Plesk, CN=Plesk, emailAddress=info@plesk.com 228615 C=GB, ST=Greater Manchester, L=Salford, O=Sectigo Limited, CN=Sectigo RSA Organization Validation Secure Server CA 202529 C=US, O=DigiCert Inc, OU=www.digicert.com, CN=GeoTrust TLS RSA CA G1 184627 C=US, ST=MI, L=Ann Arbor, O=Internet2, OU=InCommon, CN=InCommon RSA Server CA 184276 C=US, O=Entrust, Inc., OU=See
www.entrust.net/legal-terms
, OU=© 2021 Entrust, Inc. — for authorized use only, CN=Entrust Certification Authority — L1K 177315 C=NL, ST=Noord-Holland, L=Amsterdam, O=TERENA, CN=TERENA SSL CA 3 171469 C=LV, L=Riga, O=GoGetSSL, CN=GoGetSSL RSA DV CA 168933 C=US, O=GeoTrust Inc., CN=RapidSSL SHA256 CA 150830 C=RU, ST=Moscow, L=Moscow, O=Odin, OU=Odin Automation, CN=odin.com, emailAddress=webmaster@odin.com 122399 C=JP, O=Japan Registry Services Co., Ltd., CN=JPRS Domain Validation Authority — G2 118029 C=GB, ST=Greater Manchester, L=Salford, O=Sectigo Limited, CN=Sectigo ECC Domain Validation Secure Server CA 109435 C=GB, ST=Berkshire, L=Newbury, O=My Company Ltd 108309 C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, OU=Microsoft IT, CN=Microsoft IT TLS CA 2 108016 C=US, O=GeoTrust Inc., CN=RapidSSL SHA256 CA — G3 107719 C=–, ST=SomeState, L=SomeCity, O=SomeOrganization, OU=SomeOrganizationalUnit, CN=ns546485.ip-158-69-252.net, emailAddress=root@ns546485.ip-158-69-252.net 106164 C=US, ST=DE, L=Wilmington, O=Corporation Service Company, CN=Trusted Secure Certificate Authority DV 104634 CN=localhost
В схеме zgrab это .data.tls.server_certificates.certificate.parsed.issuer_dn, результаты можно воспроизвести с помощью zcat 2021-08-01-ssl-*.gz | parallel --pipe jq -r .data.tls.server_certificates.certificate.parsed.issuer_dn | sort | uniq -c zcat 2021-08-01-ssl-*.gz | parallel --pipe jq -r .data.tls.server_certificates.certificate.parsed.issuer_dn | sort | uniq -c zcat 2021-08-01-ssl-*.gz | parallel --pipe jq -r .data.tls.server_certificates.certificate.parsed.issuer_dn | sort | uniq -c
Rsa sha-2 (under sha-1 root) intermediate ca
Issued to: Thawte RSA CA 2021
Issued by: DigiCert Global Root CA
Valid from: 11/06/2021 to 11/06/2027
Serial Number: 02 5a 8a ef 19 6f 7e 0d 6c 21 04 b2 1a e6 70 2b
Этот Thawte SSL Root сертификат предназначен для
- SSL 123
- SSL 123 Wildcard
- SSL Web Server
- SSL Web Server Wildcard
Rsa sha-2 (under sha-1 root) root ca
Issued to: DigiCert High Assurance EV Root CA
Issued by: DigiCert High Assurance EV Root CA
Valid from: 11/09/2006 to 11/09/2031
Serial Number: 02 ac 5c 26 6a 0b 40 9b 8f 0b 79 f2 ae 46 25 77
Этот Thawte SSL Root сертификат предназначен для SSL Web Server Extended Validation сертификата
Thawte rsa ca 2021 certificate – a3c85e6554e53078c105ea070a6a59ccb9fede5a
Как исправить сообщение «центр сертификации сервера ssl не является доверенным» в браузере? – 2 ответа
Вы, похоже, правы в своих подозрениях: согласно сообщению об ошибке, ваш прокси-сертификат использует алгоритм подписи SHA-1, который имеет серьезную известную слабость. Время действия не является проблемой; плохой алгоритм есть.
Процесс отказа от алгоритма SHA-1 начался несколько лет назад: с Chrome он начался в 2021 году, поскольку начал отмечать сертификаты конечных объектов, которые использовали SHA-1 и которые действовали после 1 января 2021 года, как «безопасные, но с незначительными ошибки». По прошествии времени и обнаружении новых способов использования уязвимости пометка была расширена пошагово для всех некорневых сертификатов SHA-1 и стала более строгой: теперь любой современный веб-браузер помечает сайт как Сертификат SHA-1 в любом месте своей цепочки сертификатов однозначно плох.
Органы по сертификации, соответствующие базовым требованиям CAB / F, прекратили выпуск любых новых сертификатов SHA-1 в начале 2021 года.
Microsoft также прошла процедуру устаревания сертификатов SHA-1 в 2021 году.
Если ваш брандмауэр / прокси-сервер по-прежнему использует сертификат с алгоритмом подписи SHA-1, похоже, вы какое-то время спали за рулем. Это стало очевидным только сейчас, вероятно, из-за недавнего обновления для системы безопасности, которое, в конце концов, сделало алгоритм SHA-1 категорически не повсеместным.
Вы должны убедиться, что ваш прокси-сервер может использовать сертификаты с лучшими алгоритмами (если он актуален и может обрабатывать современные TLS на веб-сайтах, это, вероятно, уже может), и создать новый SSL proxy default authorityсертификат, который использует SHA256 вместо SHA-1. Вам нужно будет распространить его среди всех клиентов, чей трафик SSL / TLS вы хотите отслеживать. После распространения вы можете переключить свой прокси на использование нового сертификата.
С добавленными скриншотами, похоже, что браузер в основном доволен полученным сертификатом, поскольку в адресной строке есть хороший значок замка. Фактическое сообщение об ошибке отображается вместо содержимого страницы, что заставляет меня думать, что это способ прокси-сервера сообщить об ошибке проверки сертификата в соединении между прокси-сервером и целевым сайтом.
На первом снимке экрана вы просматриваете вне локальной сети, и фактический сертификат сайта можно увидеть. Обратите внимание, что он был недавно обновлен, так как срок его действия начался 15.10.2021. Сертификат CA, используемый для сертификации сайта, – «Thawte RSA CA 2021», поэтому даже сертификату CA не более одного года.
На самом деле вы можете столкнуться с двумя проблемами:
- браузер был недоволен сертификатом прокси-сервера с устаревшим алгоритмом SHA-1, но в настоящее время он все еще считает, что это простительно.
- и прокси был недоволен, потому что у него нет промежуточного сертификата «Thawte RSA CA 2021» или его родителя, сертификата «DigiCert Global Root CA» в его собственном хранилище сертификатов доверенного ЦС, и поэтому он не может проверить недавно обновлен актуальный сертификат.
На момент написания этой статьи соответствующие сертификаты Thawte CA и промежуточные сертификаты были доступны здесь.
Установка ssl-сертификата от thawte – база знаний ucoz
Для полноценного функционирования SSL сертификата на вашем сайте, вам нужно установить полученные сертификаты.
Откройте страницу подключения сертификата, перейдя в ПУ – Безопасность – Настройка SSL (http://адрес_сайта/panel/security/ssl_cert) и активируйте переключатель “Подключить HTTPS”
Купить SSL сертификат
Скопируйте содержимое сохраненных ранее файлов приватного ключа, SSL-сертификата вашего домена в соответствующие поля. При копировании необходимо убедиться в наличии пяти тире по обе стороны от BEGIN и END.
В секретном ключе не должно быть лишних пробелов, разрывов строк или дополнительных символов, которые непреднамеренно были добавлены.
Если у вашего сертификата несколько промежуточных сертификатов, то необходимо загрузить их по очереди, нажав на кнопку Добавить поле.
Корневой сертификат должен быть установлен последним.
- сертификат для вашего домена (your_domain.crt).
- промежуточный сертификат (IntermediateCA.crt, в некоторых случаях еще и IntermediateCA2.crt) установку нужно выполнять с одним промежуточным сертификатом,
- корневой сертификат (TrustedRoot.crt)
После того, как вы установили свой SSL-сертификат Thawte, вы можете убедиться, что установка прошла успешно с помощью проверки SSL-сертификата.
Для проверки установки выполните следующие действия:
- Перейти к SSL Certificate Checker.
- Введите URL-адрес сайта (например, www.thawte.com), который вы хотите проверить, и нажмите кнопку « Проверить» .
Цепочки сертификатов для comodo
CA_BUNDLE PositiveSSL (SHA-1) Подходит для сертификатов COMODO PositiveSSL и PositiveSSL Wildcard (смотреть все SSL-сертификаты Wildcard)
CA_BUNDLE EssentialSSL (SHA-1) Подходит для сертификатов COMODO EssentialSSL, EssentialSSL Wildcard
CA_BUNDLE PositiveSSL и EssentialSSL (SHA-2) Подходит для сертификатов COMODO PositiveSSL, EssentialSSL, PositiveSSL/EssentialSSL Wildcard
CA_BUNDLE InstantSSL/PremiumSSL/InstantSSL Pro (SHA-1) Подходит для сертификатов COMODO InstantSSL, PremiumSSL, InstantSSL Pro и PremiumSSL Wildcard
CA_BUNDLE InstantSSL/PremiumSSL/InstantSSL Pro (SHA-2) Подходит для сертификатов COMODO InstantSSL, PremiumSSL, InstantSSL Pro и PremiumSSL Wildcard
CA_BUNDLE Comodo EVSSL (SHA-1) Подходит для сертификтатов COMODO EV SSL
CA_BUNDLE Comodo EVSSL (SHA-2) Подходит для сертификтатов COMODO EV SSL
Цепочки сертификатов для geotrust
RapidSSL/Wildcard (SHA-1) Подходит для сертификатов GeoTrust RapidSSL и RapidSSL Wildcard
RapidSSL/Wildcard (SHA-2 under SHA-1 root) Подходит для сертификатов GeoTrust RapidSSL и RapidSSL Wildcard
QuickSSL Premium (SHA-1)
QuickSSL Premium (SHA-2 under SHA-1 root)
TrueBusinessID (SHA-1)
TrueBusinessID (SHA-2 under SHA-1 root)
TrueBusinessID (SHA-2 under SHA-2 root)
TrueBusinessID with EV (SHA-1)
TrueBusinessID with EV (SHA-2 under SHA-1 root)
TrueBusinessID with EV (SHA-2 under SHA-2 root)
Цепочки сертификатов для thawte
SSL 123 (SHA-1)
SSL 123 (SHA-2 under SHA-1 root)
SSL 123 (SHA-2 under SHA-2 root)
SSL WebServer (SHA-1)
SSL WebServer (SHA-2 under SHA-1 root)
SSL WebServer (SHA-2 under SHA-2 root)
SSL WebServer with EV (SHA-1)
SSL WebServer with EV (SHA-2 under SHA-1 root)
SSL WebServer with EV (SHA-2 under SHA-2 root)
Цепочки сертификатов для verisign
Secure Site (SHA-1)
Secure Site Pro (SHA-1)
Secure Site и Secure Site Pro (SHA-2 under SHA-1 root)
Secure Site и Secure Site Pro (SHA-2 under SHA-2 root)
Secure Site with EV (SHA-1)
Secure Site Pro with EV (SHA-1)
Secure Site with EV и Secure Site Pro with EV (SHA-2 under SHA-1 root)
Secure Site with EV и Secure Site Pro with EV (SHA-2 under SHA-2 root)
Читайте здесь,