Re: [Case] SSL Problem

看板MIS (IT資訊人員)作者asdrt (安靜)時間6年前 (2018/08/23 11:49)推噓3(3推 0噓 1→)

留言4則, 4人參與討論串3/3 (看更多)

※ 引述《DarkKiller (System hacked)》之銘言： : ※ 引述《asdrt (安靜)》之銘言： : : [問題描述] : : https 網站於 Chorme ver68 顯示為不安全(紅色鎖頭) : : [已嘗試過的方法] : : 利用 https://www.sslshopper.com/ssl-checker.htm 測試憑證沒問題 : : 用 FireFox 開啟也是綠色鎖頭 : : 但就是用 Chorme 開啟會有紅色鎖頭 : : 網站是 d32015.swcb.gov.tw : : [其他線索] : : 有檢查過網站的 http.conf & http-ssl.conf 也沒什麼問題 : : 在ssl error log 也沒發現大問題 : : 但就是過不瞭 chrome 這一關 : : 不知道版上有沒有先進可以提供一下經驗或是想法的 : : 感謝 : https://www.ssllabs.com/ssltest/analyze.html?d=d32015.swcb.gov.tw : 因為你的 certficiate chain 沒放好，需要 extra download (展開下面的 : Certification Paths 看)。謝謝各位幫忙最後同步跟GCA查證 (因為是 Chrome更新的v68後才出現的原因) 也得到解決方法提供給各位做參考 ---- 由於 Google Chrome第68版針對CT Log機制之更新，貴單位網站主機(Web Server) 應啟用OCSP stapling機制(供Google驗證SCT資訊)，以避免造成使用該版本瀏覽器用戶瀏覽貴管網頁時出現「你的連線不是私人連線」之錯誤訊息，貴單位可用 SSL 憑證簽發日來判斷，若是簽發日介於2018/5/1至2018/5/15之間的GCA SSL憑證皆可能發生此問題，目前解決方法如下： 1.配合Google CT Log機制，啟用網站之OCSP stapling機制，說明如下： ■目前可支援OCSP Stapling之Web Server版本如下： IIS: Windows 2008以上 Apache: 2.3.3以上 Nginx: 1.3.7以上 ■目前已知Tomcat, WebLogic, Jboss無法支援OCSP Stapling。 ■並請注意:啟用OCSP Stapling之Web主機須開通防火牆規則: port80連到GCA網站(gca.nat.gov.tw)。 ■Windows IIS預設已啟用OCSP Stapling功能，但若有使用SNI，請參考下列網址進行設定調整才可啟用。 https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/ windows-server-2012-R2-and-2012/dn786418(v=ws.11) ■Apache或Nginx需要調整設定才可以支援，可參考下列網址： https://www.digicert.com/enabling-ocsp-stapling.htm http://www.entrust.net/knowledge-base/technote.cfm?tn=70825 2.若貴單位使用之Web Server不支援OCSP Stapling或因資安因素無法啟用OCSP stapling機制，請至GCA重新申請SSL憑證(內含SCT資訊)，並更新網站憑證。 -- 以上 -- -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 203.74.124.79 ※ 文章網址: https://www.ptt.cc/bbs/MIS/M.1534996168.A.F35.html