Ocena + nadal niezabezpieczona przez Google Chrome

Udostępniam mój serwer w DigitalOcean i chociaż otrzymuję ocenę A + od ssllabs,

https://www.ssllabs.com/ssltest/analyze.html?d=zandu.biz

po połączeniu się z moją witryną https://www.zandu.biz lub https://zandu.biz otrzymuję niezabezpieczone powiadomienie w przeglądarce Chrome.

Jak to rozwiązać?

ssl apache-2.4 lets-encrypt

— Architekt
źródło

Ten serwer nie mógł udowodnić, że jest to www.zandu.biz; jego certyfikat bezpieczeństwa pochodzi z zandu.biz. Może to być spowodowane błędną konfiguracją lub atakiem przechwytującym twoje połączenie.

Nazwa w certyfikacie witryny to zandu.biz, która nie jest ważna dla innej nazwy (www.zandu.biz). Ponadto masz przekierowanie z zandu.biz na www.zandu.biz, więc jeśli użyjesz nazwy, certyfikat jest ważny, ponieważ przekieruje na nazwę, która nie jest.

Potrzebujesz certyfikatu z obiema nazwami .

— zrm
źródło

Certyfikaty wieloznaczne mogą być wygodniejsze lub konieczne, jeśli nazwy, których zamierzasz użyć, nie są wcześniej znane. Ale zwiększają również twoją widoczność, jeśli powiązany klucz prywatny zostanie naruszony, ponieważ wtedy atakujący może sfałszować dowolną nazwę w domenie, a nie tylko te, których faktycznie używał serwer.

— zrm

Let's Encrypt to urząd certyfikacji. Na początku byli podpisywani krzyżowo przez IdenTrust, ale kończy się to w 2020 r., Ponieważ ich własny certyfikat główny jest obecnie powszechnie zaufany. Nic z tego nie ma nic wspólnego z twoim problemem, który i tak byłby taki sam.

— zrm

s / Nazwa zwyczajowa / Temat Nazwa alternatywna / - Chrome nie używa nazwy zwykłej przez 2 lata; inne przeglądarki robią to tylko wtedy, gdy SAN jest nieobecny, co nie było prawdą w przypadku żadnych certyfikatów (EE) z publicznych urzędów certyfikacji od 2010 r., chociaż można to zorganizować dla certyfikatów testowych, które sam tworzysz. Który jest dokładnie, dlaczego można dostać jeden cert dla wielu domen - starożytny CERT wykorzystujących jedyną wspólną nazwa nie może tego zrobić.

— dave_thompson_085

@djdomi certyfikat wieloznaczny dla *.example.comnadal nie obejmuje samej domeny example.com. Nadal potrzebujesz dwóch wartości w sieci SAN.

— Michael - sqlbot

Głównym powodem, dla którego należy unikać certyfikatu wieloznacznego, jest to, że OP używa LetsEncrypt. Chociaż LetsEncrypt obsługuje certyfikaty wieloznaczne, wymaga to wyzwania DNS. Sprostanie wyzwaniu DNS jest trudniejsze do zautomatyzowania. Ponadto automatyzacja wyzwania DNS może oznaczać, że zaatakowany serwer zapewni atakującym dostęp do Twojego DNS. Wystarczy więc użyć certyfikatu UCC lub dwóch certyfikatów (które podejście nie ma większego znaczenia. Rób to, co jest łatwiejsze).

— Brian