web-dev-qa-db-fra.com

Firebug signale une erreur de certificat SHA-1

Pour le script au bas de cet article, Firebug signale l'erreur suivante:

Ce site utilise un certificat SHA-1; il est recommandé d'utiliser des certificats avec des algorithmes de signature qui utilisent des fonctions de hachage plus puissantes que SHA-1

L'erreur est dupliquée pour chaque appel à googleapis et apparaît pour les liens vers les ressources sur mon serveur (c'est-à-dire clicks.js).

https://www.ssllabs.com indique que j'utilise SHA256withRSA.

oppenssl indique également que j'utilise sha256WithRSAEncryption.

[root@devserver ~]# openssl req -in /etc/pki/tls/private/mysite_csr.pem -noout -text
Certificate Request:
    Data:
        Version: 0 (0x0)
        Subject: C=US, ST=Washington, L=Bothell, O=MySite, CN=mysite.com/emailAddress=xxx@comcastdotnet
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (3072 bit)
                Modulus:
                    xxxx
                Exponent: 65537 (0x10001)
        Attributes:
            a0:00
    Signature Algorithm: sha256WithRSAEncryption
         xxxx
[root@devserver ~]#

Il se produit à la fois avec des certificats auto-signés et avec ceux d'une autorité de certification.

Le script qui provoque l'erreur est ci-dessous avec les erreurs Firebug.

<!DOCTYPE html>
<html>
    <head>
        <meta http-equiv="Content-Type" content="text/html; charset=utf-8">
        <title>Testing</title>  
        <link href="https://ajax.googleapis.com/ajax/libs/jqueryui/1.11.2/themes/ui-lightness/jquery-ui.css" type="text/css" rel="stylesheet" />
        <script src="https://ajax.googleapis.com/ajax/libs/jquery/1.11.2/jquery.js" type="text/javascript"></script>
        <script src="https://ajax.googleapis.com/ajax/libs/jqueryui/1.11.2/jquery-ui.js" type="text/javascript"></script>
        <script src="clicks.js" type="text/javascript"></script>
    </head>

    <body>
    </body> 
</html> 

enter image description here

Un clic gauche pour copier les erreurs fournit les éléments suivants:

This site makes use of a SHA-1 Certificate; it's recommended you use certificates with signature algorithms that use hash functions stronger than SHA-1.
https://ajax.googleapis.com/ajax/libs/jqueryui/1.11.2/themes/ui-lightness/jquery-ui.css
Line 0

This site makes use of a SHA-1 Certificate; it's recommended you use certificates with signature algorithms that use hash functions stronger than SHA-1.
https://ajax.googleapis.com/ajax/libs/jquery/1.11.2/jquery.js
Line 0

This site makes use of a SHA-1 Certificate; it's recommended you use certificates with signature algorithms that use hash functions stronger than SHA-1.
https://ajax.googleapis.com/ajax/libs/jqueryui/1.11.2/jquery-ui.js
Line 0

Qu'est-ce qui cause cette erreur et comment est-elle éliminée?

15
user1032531

Le problème n'est pas votre certificat, c'est le certificat de googleapis.com, auquel vous accédez en chargeant leurs bibliothèques jQuery.

Si vous allez directement à l'un des scripts , vous pouvez cliquer sur l'icône du cadenas et voir plus d'informations sur le certificat SSL:

+- GeoTrust Global CA
+--- Google Internet Authority G2
+----- *.storage.googleapis.com
     +--- Certificate Signature Algorithm: PCKS #1 SHA-1 With RSA Encryption

Je ne m'inquiéterais pas trop à ce sujet - Google espère passer bientôt au SHA256, et il est peu probable que cela vous affecte.

Si cela vous inquiète vraiment, déplacez les copies de jQuery sur votre site localement, puis incluez-les à partir de là. De cette façon, vous ne récupérez pas les ressources des hôtes tiers.

7
Polynomial