Peringkat A + masih tidak aman menurut pendapat Google Chrome

Saya menyediakan server saya di DigitalOcean , dan meskipun saya mendapatkan peringkat A + dari ssllab,

https://www.ssllabs.com/ssltest/analyze.html?d=zandu.biz

ketika saya terhubung ke situs saya, https://www.zandu.biz atau https://zandu.biz , saya mendapatkan pemberitahuan tidak aman di dalam Chrome.

Bagaimana saya mengatasi ini?

ssl apache-2.4 lets-encrypt

— Arsitek
sumber

Server ini tidak dapat membuktikan bahwa itu adalah www.zandu.biz; sertifikat keamanannya dari zandu.biz. Ini mungkin disebabkan oleh kesalahan konfigurasi atau penyerang mencegat koneksi Anda.

Nama dalam sertifikat situs Anda adalah zandu.biz, yang tidak berlaku untuk nama yang berbeda (www.zandu.biz). Selain itu, Anda memiliki pengalihan dari zandu.biz ke www.zandu.biz, jadi jika Anda menggunakan nama sertifikat itu valid untuk pengalihan ke nama yang bukan.

Yang Anda butuhkan adalah mendapatkan sertifikat dengan kedua nama .

— zrm
sumber

Sertifikat wildcard bisa lebih nyaman atau diperlukan jika nama yang ingin Anda gunakan tidak diketahui sebelumnya. Tetapi mereka juga meningkatkan eksposur Anda jika kunci privat terkait terganggu karena penyerang dapat memalsukan nama apa pun di domain Anda dan bukan hanya yang digunakan oleh server.

— zrm

Let's Encrypt adalah CA. Ketika pertama kali mereka mulai, mereka ditanda-tangani oleh IdenTrust tetapi itu berakhir pada tahun 2020 karena sertifikat root mereka sendiri sekarang dipercaya secara luas. Tidak ada yang ada hubungannya dengan masalah Anda, yang akan tetap sama.

— zrm

s / Nama Umum / Nama Alternatif Subjek / - Chrome belum menggunakan Nama Umum sama sekali selama 2 tahun; browser lain melakukannya hanya jika SAN tidak ada, yang tidak berlaku untuk sertifikat (EE) dari CA publik sejak sebelum 2010, meskipun Anda dapat mengaturnya untuk sertifikat pengujian yang Anda buat sendiri. Itulah sebabnya Anda bisa mendapatkan satu sertifikat untuk banyak domain - sertifikat kuno yang hanya menggunakan Nama Umum tidak dapat melakukannya.

— dave_thompson_085

@djdomi sertifikat wildcard untuk *.example.commasih tidak mencakup domain kosong example.com. Anda masih membutuhkan dua nilai di SAN.

— Michael - sqlbot

Alasan yang lebih besar untuk menghindari sertifikat wildcard adalah bahwa OP menggunakan LetsEncrypt. Meskipun LetsEncrypt mendukung sertifikat wildcard, ini membutuhkan tantangan DNS. Memuaskan tantangan DNS lebih sulit untuk diotomatisasi. Selain itu, mengotomatisasi tantangan DNS dapat berarti bahwa server yang dikompromikan akan memberikan akses kepada penyerang ke DNS Anda. Jadi, cukup menggunakan sertifikat UCC atau dua sertifikat (yang pendekatannya tidak terlalu penting. Lakukan yang lebih mudah).

— Brian