Необходимо заменить SSL сертификаты с алгоритмом хеширования SHA1 на SHA2 до 1 января 2016 года!

Команда исследователей продемонстрировала (pdf), что сложность взлома алгоритма хеширования SHA1 ниже, чем ожидалось ранее. До 1 января 2016 года нужно заменить SSL-сертификаты с SHA1 на SHA2. Если не заменить — ряд браузеров будет выдавать предупреждение.



Примерно миллион сайтов с HTTPS по-прежнему использует небезопасный алгоритм SHA1.



Как проверить, использует ли ваш сайт уязвимый алгоритм хеширования SHA1?

Введите доменное имя на сайте https://shaaaaaaaaaaaaa.com и нажмите «Go».
Если результат тестирования «Nice» – все хорошо и обновлять сертификат не требуется.


Если результат тестирования «Dang» – необходимо срочно обновить SSL–сертификат.



Как обновить SSL–сертификат?

Если вы заказывали SSL–сертификат у Infobox
Бесплатный перевыпуск действующего сертификата
Подключитесь к серверу по SSH. Если вы используете хостинг сайтов, включить доступ по SSH можно так.

Сгенерируйте новый сертификат командой:
openssl genrsa -out private.key 2048

Теперь сгенерируйте новый запрос на подпись сертификата (CSR):
openssl req -out domain.csr -key private.key -new -sha512

Необходимо заполнить следующие поля латинскими буквами той же информацией, что указана в текущем сертификате:
  • Country Name (Название страны, 2х буквенный код) [RU]: 2х буквенный код страны, где находится ваша компания;
  • State or Province Name (Регион, полное название) [Moscow]: Полное название региона, где находится ваша компания;
  • Locality Name (Город, полное название) [Moscow]: Название города, где находится ваша компания;
  • Organization Name (Название компании): Зарегистрированное название вашей компании;
  • Organizational Unit Name (Отдел компании) Отдел компании, которому необходим SSL–сертификат
  • Common Name (Полное имя домена, FQDN): Введите полное имя домена (например example.com) сайта, для которого обеспечиваете безопасность. Если вы генерируете CSR для Wildcard SSL сертификата, доменное имя должно начинаться со звездочки (например *.example.com).
  • Email Address (адрес электронной почты в указанном домене): Введите адрес электронной почты в указанном домене (например *.example.com).
Дополнительные поля можно не указывать.

Выведите содержание domain.csr на экран командой:
cat domain.csr

Скопируйте содержание запроса на подпись сертификата в буфер обмена.

Теперь перейдите на страницу перевыпуска сертификатов GeoTrust Self Service Reissuance.



Введите название домена, на который регистрировался сертификат (в поле Fully qualified domain name or common name) или номер заказа (в поле Order ID). Номер заказа был отправлен на вашу электронную почту после заказа у Infobox с адреса sslorders@geotrust.com (по адресу можно найти письмо в почте). Также укажите адрес электронной почты, на который вы заказывали сертификат и проверочный номер с картинки.

Если данные введены верно, вы получите доступ к странице с заказом. Нажмите «Request access».


На вашу электронную почту придет секретная ссылка для доступа к панели управления сертификатом.


Пройдите по секретной ссылке и нажмите «Reissue certificate».



Вставьте ранее скопированное содержание запроса на подпись сертификата:

Примите условия сервиса, поставив галочку и нажмите «Submit».



На контактный адрес в домене, указанный в запросе на подпись сертификата (CSR) вы получите запрос на перевыпуск сертификата. Пройдите по указанной в письме ссылке.


На открывшейся странице нажмите «I approve».


После этого вы получите новый сертификат на электронную почту.

Сохраните его на сервере и обновите private.key (ваш приватный ключ, сгенерирован вами при подготовке запроса на перевыпуск сертификата и находится на вашем сервере) и domain.crt (получен от geotrust по электронной почте) на вашем веб-сервере.

Процесс установки сертификатов на Apache и NGINX мы рассмотрели в этой статье.
Если у вас возникнут вопросы по этому процессу — с радостью поможем.

Заказ нового сертификата с SHA2 и RSA 2048 у Infobox
Если вы заказывали ваш сертификат не у Infobox – обратитесь в техническую поддержку компании, которая выпустила ваш сертификат. Если проблема не решается — можно заказать новый SSL–сертификат у нас.

Отличного дня!

0 комментариев

Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.