A + derecesi, Google Chrome'un görüşünden hala emin değil

Sunucumu DigitalOcean üzerinde sağlıyorum ve ssllabs'tan A + derecesi almam da,

https://www.ssllabs.com/ssltest/analyze.html?d=zandu.biz

siteme, https://www.zandu.biz veya https://zandu.biz bağlandığımda, Chrome içinde güvenli olmayan bir bildirim alıyorum.

Bunu nasıl çözerim?

ssl apache-2.4 lets-encrypt

— Mimar
kaynak

Bu sunucu www.zandu.biz olduğunu kanıtlayamadı; güvenlik sertifikası zandu.biz'den alınmıştır. Bunun nedeni, yanlış bir yapılandırma veya bağlantınızı kesen bir saldırgan olabilir.

Sitenizin sertifikasındaki ad, farklı bir ad için geçerli olmayan zandu.biz'dir (www.zandu.biz). Dahası, zandu.biz'den www.zandu.biz'e bir yönlendirmeniz var, bu nedenle adı kullanırsanız, sertifika geçerli olmadığı için yönlendirilir.

İhtiyacınız olan her iki ada sahip bir sertifika almaktır .

— ZRM
kaynak

Kullanmayı düşündüğünüz isimler önceden bilinmiyorsa, joker karakter sertifikaları daha uygun veya gerekli olabilir. Ancak, ilişkili özel anahtarın güvenliği ihlal edilirse, maruz kalmanızı da artırırlar çünkü saldırgan yalnızca sunucunun gerçekte kullandığından ziyade alan adınızda herhangi bir ad oluşturabilir.

— zrm

Şifreleyelim bir CA. İlk başladığında , IdenTrust tarafından çapraz imzalandı, ancak 2020'de sona erdi, çünkü kendi kök sertifikalarına artık yaygın olarak güveniliyor. Bunların hiçbirinin probleminizle ilgisi yoktur, ki bu her iki şekilde de aynı olurdu.

— zrm

s / Ortak Ad / Konu Alternatif Ad / - Chrome, 2 yıldır hiç Ortak Ad kullanmamıştır ; diğer tarayıcılar bunu yalnızca SAN olmadığında yapar, bu da 2010'dan önce kamu CA'larından herhangi bir (EE) sertifikası için doğru değildir, ancak kendiniz oluşturduğunuz test sertifikaları için düzenleyebilirsiniz. Hangi tam olarak neden olduğunu olabilir birden çok alan için bir sertifika almak - yapamazdım sadece Ortak Adını antik certs.

— dave_thompson_085

@djdomi için bir joker karakter sertifikası *.example.comhala çıplak alanı kapsamıyor example.com. SAN'da hala iki değere ihtiyacınız var.

— Michael - sqlbot

Joker karakter sertifikasından kaçınmanın en büyük nedeni OP'nin LetsEncrypt kullanmasıdır. LetsEncrypt joker karakter sertifikalarını desteklese de, bu bir DNS sorgusu gerektirir. Bir DNS zorluğunun karşılanması otomatikleştirilmesi zordur. Ayrıca, bir DNS sorununu otomatikleştirmek, güvenliği ihlal edilmiş bir sunucunun saldırganlara DNS'inize erişmesine izin vereceği anlamına gelebilir. Bu nedenle, bir UCC sertifikası veya iki sertifika kullanmak yeterlidir (bu yaklaşımın önemi yoktur. Hangisi daha kolaysa yapın).

— Brian