Проверьте, является ли мой сертификат SSL SHA1 или SHA2

Я пытался найти ответ на это, но я не мог найти ответ...

Как проверить, использует ли мой сертификат SSL SHA1 или SHA2?

Я спрашиваю об этом потому, что это может быть связано с тем, что сертификат не загружается в браузерах Mozilla....

Есть идеи? Могу ли я проверить через cPanel?

5 ответов

Решение

Вы можете проверить, посетив сайт в вашем браузере и просмотрев сертификат, полученный браузером. Подробная информация о том, как это сделать, может варьироваться от браузера к браузеру, но, как правило, если щелкнуть или щелкнуть правой кнопкой мыши значок замка, должна быть опция для просмотра сведений о сертификате.

В списке полей сертификата найдите поле под названием "Алгоритм подписи сертификата". (Для сертификата Stackru его значение равно "PKCS #1 SHA-1 с шифрованием RSA".)

Используйте командную строку Linux

Используйте командную строку, как описано в этом связанном вопросе: Как проверить, является ли мой SSL-сертификат SHA1 или SHA2 в командной строке.

команда

Вот команда. замещать www.yoursite.com:443 чтобы соответствовать вашим потребностям. Порт SSL по умолчанию: 443:

openssl s_client -connect www.yoursite.com:443 < /dev/null 2>/dev/null \
    | openssl x509 -text -in /dev/stdin | grep "Signature Algorithm"

Результаты

Это должно вернуть что-то вроде этого для sha1:

Signature Algorithm: sha1WithRSAEncryption

или это для более новой версии:

Signature Algorithm: sha256WithRSAEncryption

Рекомендации

В статье " Почему Google торопит Интернет, чтобы убить SHA-1", в точности описывается то, что вы ожидаете, и также есть симпатичная графика.

Обновление: приведенный ниже сайт больше не работает, потому что, как говорится на сайте:

По состоянию на 1 января 2016 года ни одному публично доверенному ЦС не разрешено выдавать сертификат SHA-1. Кроме того, поддержка SHA-1 была удалена большинством современных браузеров и операционных систем в начале 2017 года. Каждый новый сертификат, который вы получаете, должен автоматически использовать алгоритм SHA-2 для своей подписи.

Устаревшие клиенты будут продолжать принимать сертификаты SHA-1, и можно запросить сертификат 31 декабря 2015 года, который действителен в течение 39 месяцев. Таким образом, можно увидеть сертификаты SHA-1 в дикой природе, срок действия которых истекает в начале 2019 года.

Оригинальный ответ:

Вы также можете использовать https://shaaaaaaaaaaaaa.com/ - настроить, чтобы облегчить эту конкретную задачу. На сайте есть текстовое поле - вы вводите доменное имя вашего сайта, нажимаете кнопку "Перейти", и он сообщает вам, использует ли сайт SHA1 или SHA2.

Фон

openssl s_client -connect api.cscglobal.com:443 < /dev/null 2>/dev/null  | openssl x509 -text -in /dev/stdin | grep "Signature Algorithm" | cut -d ":" -f2 | uniq | sed '/^$/d' | sed -e 's/^[ \t]*//'

Мне пришлось немного изменить это, чтобы использовать его в системе Windows. Вот версия с одним вкладышем для окна.

openssl.exe s_client -connect yoursitename.com:443 > CertInfo.txt && openssl x509 -text -in CertInfo.txt | find "Signature Algorithm" && del CertInfo.txt /F

Протестировано на Server 2012 R2 с использованием http://iweb.dl.sourceforge.net/project/gnuwin32/openssl/0.9.8h-1/openssl-0.9.8h-1-bin.zip

Другие вопросы по тегам