web-dev-qa-db-fra.com

Vérifier si mon certificat SSL est SHA1 ou SHA2

J'ai essayé de trouver la réponse à cette question mais je n'ai pas trouvé de réponse ...

Comment vérifier si mon certificat SSL utilise SHA1 ou SHA2?

La raison pour laquelle je pose cette question est parce que cela pourrait avoir à voir avec le certificat ne se chargeant pas sur Mozilla Browers ....

Des idées? Puis-je vérifier via cPanel?

45
henry

Vous pouvez vérifier en visitant le site dans votre navigateur et en affichant le certificat que le navigateur a reçu. Les détails de cette procédure peuvent varier d’un navigateur à l’autre, mais en général, si vous cliquez ou que vous faites un clic droit sur l’icône de cadenas, une option permettant d’afficher les détails du certificat doit exister.

Dans la liste des champs de certificat, recherchez-en un appelé "Algorithme de signature de certificat". (Pour le certificat de StackOverflow, sa valeur est "PKCS # 1 SHA-1 avec cryptage RSA".)

20
Wyzard

Utiliser la ligne de commande Linux

Utilisez la ligne de commande, comme décrit dans cette question connexe: Comment puis-je vérifier si mon certificat SSL est SHA1 ou SHA2 sur la ligne de commande .

Commander

Voici la commande. Remplacez www.yoursite.com:443 pour répondre à vos besoins. Le port SSL par défaut est 443:

openssl s_client -connect www.yoursite.com:443 < /dev/null 2>/dev/null \
    | openssl x509 -text -in /dev/stdin | grep "Signature Algorithm"

Résultats

Cela devrait retourner quelque chose comme ceci pour le sha1:

Signature Algorithm: sha1WithRSAEncryption

ou ceci pour la nouvelle version:

Signature Algorithm: sha256WithRSAEncryption

Références

L'article Pourquoi Google presse le Web pour tuer SHA-1 décrit exactement ce à quoi vous pouvez vous attendre et présente un joli graphique.

49
cwd

Mise à jour: Le site ci-dessous ne fonctionne plus car, comme on le dit sur le site:

À compter du 1er janvier 2016, aucune autorité de certification de confiance publique n'est autorisée à émettre un certificat SHA-1. De plus, la plupart des navigateurs et des systèmes d'exploitation modernes ont supprimé la prise en charge de SHA-1 début 2017. Tout nouveau certificat obtenu devrait automatiquement utiliser un algorithme SHA-2 pour sa signature.

Les clients hérités continueront d'accepter les certificats SHA-1 et il est possible d'avoir demandé un certificat le 31 décembre 2015 valable pendant 39 mois. Il est donc possible de voir des certificats SHA-1 dans la nature qui expirent au début de 2019.

Réponse originale:

Vous pouvez également utiliser https://shaaaaaaaaaaaaa.com/ - mis en place pour faciliter cette tâche. Le site comporte une zone de texte - vous tapez le nom de domaine de votre site, cliquez sur le bouton OK et il vous indique ensuite si le site utilise SHA1 ou SHA2.

Contexte

22
Hamish Downer
openssl s_client -connect api.cscglobal.com:443 < /dev/null 2>/dev/null  | openssl x509 -text -in /dev/stdin | grep "Signature Algorithm" | cut -d ":" -f2 | uniq | sed '/^$/d' | sed -e 's/^[ \t]*//'
2
mohan babu

J'ai dû modifier cela légèrement pour l'utiliser sur un système Windows. Voici la version one-liner pour une fenêtre. 

openssl.exe s_client -connect yoursitename.com:443 > CertInfo.txt && openssl x509 -text -in CertInfo.txt | find "Signature Algorithm" && del CertInfo.txt /F

Testé sur Server 2012 R2 avec http://iWeb.dl.sourceforge.net/project/gnuwin32/openssl/0.9.8h-1/openssl-0.9.8h-1-bin.Zip

0
Johnathan Milgie