SSL сертификаты SHA-1 не поддерживаются Google
Друзья!
Сегодня столкнулись с проблемой подленности установленного SSL сертификата нашего сайта, который выдан до 2020 года. Обновленный Google Chrom при попытке зайти на сайт сообщил, что «Ваше подключение не защищено» и закрыл страницу крупным красным замком. Браузер Internet Explorer от Microsoft так же закрыл страницу предупреждением об отсуствии безопастности.
Дело в том, что компании Google и Microsoft решила отказаться от доверия SHA-1, так как посчитала его ненадежным в связи со случаями «взлома» и очень старым (действует с 1995 года). Если учесть, что для соответствия хотя бы SHA-1 нужно перетрясти весь сайт и избавится от любых ссылок http в обход сертификата, то вернуться очень сложно.
Конечно есть «везунчики», которые успели приобрести сертификаты до объявления об окончании поддержки гуглом, но и они могут лишится «Надежности» до первого релиза Google Chrom 01.01.2019 (как сказано на сайте поисковика/браузер/ОС и т.д.). После релиза 01.01.2019 все сертификаты SHA-1 будут ненадежными.
Вот официальное сообщение о текущем релизе Chrome версии 56 на productforums Google:
«Изменения, касающиеся сертификатов сайтов
Как было объявлено ещё в сентябре 2014 года, Chrome больше не считает сертификаты SHA-1 безопасными. При посещении сайтов, использующих такие сертификаты, на экране будет появляться предупреждение „Ваше подключение не защищено“. SHA-1 – алгоритм шифрования, который существует с 1995 года и больше не считается безопасным. Мы рекомендуем всем разработчикам сайтов, до сих пор использующих сертификаты SHA-1, перейти на протоколы SHA-2, чтобы исключить или уменьшить вероятность сбоев. Более подробную информацию можно найти в нашем блоге (на английском языке).
Также Chrome версии 56 не будет поддерживать сертификаты, выпущенные WoSign и StartCom после 21 октября 2016 года, из-за различных инцидентов произошедших с ними в прошлом году»
Какие пути решения, если SHA-1 не поддерживается?
Получить сертификат SHA-2 — более правильно — купить. Этот вариант интересен, когда ресурс раскручен, так как цена достаточно ощутимая. Даже free SSL сертификаты (бесплатные ssl) не смогут помочь, так как выдающие их сайты WoSign и StartCom вошли в список санкционных, да т выдавали они бесплатно только SHA-1.
К чему приведет отсутствие ssl на сайте, где есть форма входа (предварительно)?
1. Позиции в поисковой системе
2. Отток пользователей из-за заглушки.
3. Получение статуса «Ненадежный». Даже если вы не используете возможность авторизации, то этот статус получите по умолчанию.
В чем отличие SHA-1 от SHA-2?
В длинне хэша. Работает все очень просто. При входе на сайт, ваш браузер сравнивает хэш который он сгенерировал с тем, который прислал Ваш центр сертификации и пропускает или блокирует доступ. Таким же способом блокируется SHA-1 поддержка.
Как бесплатно получить SHA-2?
Как оказалось, теперь не нужно регистрироваться на китайских сайтах, сертификаты которых постоянно банят, достаточно получить бесплатный Lets Encrypt. Некоторые хостинг провайдеры уже обновили ПО и если Вы их клдиент по хостингу, то Вам достаточно поставить галочку в настройках, как например у justhost.
Так же функция получения сертификата через Lets Encrypt доступна в бесплатной сборке понели управления хостингом — VestaCP.
Некоторые хостинг провайдеры при закезе домена так же выдают сертификаты SHA-2 бесплатно.
К примеру, есть возможность получить бесплатный, полноценный SHA-2 сертификат на REG.RU. после обработки запроса Вам пришлют ключ, запрос и сертификаты.