※ 引述《DarkKiller (System hacked)》之铭言： : ※ 引述《asdrt (安静)》之铭言： : : [问题描述] : : https 网站於 Chorme ver68 显示为不安全(红色锁头) : : [已尝试过的方法] : : 利用 https://www.sslshopper.com/ssl-checker.htm 测试凭证没问题 : : 用 FireFox 开启也是绿色锁头 : : 但就是用 Chorme 开启会有红色锁头 : : 网站是 d32015.swcb.gov.tw : : [其他线索] : : 有检查过网站的 http.conf & http-ssl.conf 也没什麽问题 : : 在ssl error log 也没发现大问题 : : 但就是过不了 chrome 这一关 : : 不知道版上有没有先进可以提供一下经验或是想法的 : : 感谢 : https://www.ssllabs.com/ssltest/analyze.html?d=d32015.swcb.gov.tw : 因为你的 certficiate chain 没放好，需要 extra download (展开下面的 : Certification Paths 看)。 谢谢各位帮忙 最後同步跟GCA查证 (因为是 Chrome更新的v68後才出现的原因) 也得到解决方法 提供给各位做参考 ---- 由於 Google Chrome第68版针对CT Log机制之更新，贵单位网站主机(Web Server) 应启用OCSP stapling机制(供Google验证SCT资讯)，以避免造成使用该版本浏览器 用户浏览贵管网页时出现「你的连线不是私人连线」之错误讯息，贵单位可用 SSL 凭证签发日来判断，若是签发日介於2018/5/1至2018/5/15之间的GCA SSL凭证皆可 能发生此问题，目前解决方法如下： 1.配合Google CT Log机制，启用网站之OCSP stapling机制，说明如下： ■目前可支援OCSP Stapling之Web Server版本如下： IIS: Windows 2008以上 Apache: 2.3.3以上 Nginx: 1.3.7以上 ■目前已知Tomcat, WebLogic, Jboss无法支援OCSP Stapling。 ■并请注意:启用OCSP Stapling之Web主机须开通防火墙规则: port80连到GCA网站(gca.nat.gov.tw)。 ■Windows IIS预设已启用OCSP Stapling功能，但若有使用SNI，请参考下 列网址进行设定调整才可启用。 https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/ windows-server-2012-R2-and-2012/dn786418(v=ws.11) ■Apache或Nginx需要调整设定才可以支援，可参考下列网址： https://www.digicert.com/enabling-ocsp-stapling.htm http://www.entrust.net/knowledge-base/technote.cfm?tn=70825 2.若贵单位使用之Web Server不支援OCSP Stapling或因资安因素无法启用OCSP stapling机制，请至GCA重新申请SSL凭证(内含SCT资讯)，并更新网站凭证。 -- 以上 -- --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 203.74.124.79 ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/MIS/M.1534996168.A.F35.html