La note A + toujours incertaine selon l'avis de Google Chrome

J'approvisionne mon serveur sur DigitalOcean , et bien que j'obtienne une note A + de ssllabs,

https://www.ssllabs.com/ssltest/analyze.html?d=zandu.biz

lorsque je me connecte à mon site, https://www.zandu.biz ou https://zandu.biz , je reçois une notification non sécurisée dans Chrome.

Comment résoudre ce problème?

ssl apache-2.4 lets-encrypt

— L'architecte
source

Ce serveur n'a pas pu prouver qu'il s'agit de www.zandu.biz; son certificat de sécurité provient de zandu.biz. Cela peut être dû à une mauvaise configuration ou à un pirate interceptant votre connexion.

Le nom dans le certificat de votre site est zandu.biz, qui n'est pas valide pour un nom différent (www.zandu.biz). De plus, vous avez une redirection de zandu.biz vers www.zandu.biz, donc si vous utilisez le nom, le certificat est valide car il redirige vers le nom qu'il ne l'est pas.

Ce dont vous avez besoin est d'obtenir un certificat avec les deux noms .

— zrm
source

Les certificats génériques peuvent être plus pratiques ou nécessaires si les noms que vous avez l'intention d'utiliser ne sont pas réellement connus à l'avance. Mais ils augmentent également votre exposition si la clé privée associée est compromise car l'attaquant peut alors forger n'importe quel nom dans votre domaine plutôt que seulement ceux que le serveur utilisait réellement.

— zrm

Let's Encrypt est une autorité de certification. Quand ils ont commencé, ils ont été signés par IdenTrust mais cela se termine en 2020 parce que leur propre certificat racine est maintenant largement approuvé. Rien de tout cela n'a quoi que ce soit à voir avec votre problème, qui aurait été le même dans les deux cas.

— zrm

s / Nom commun / Subject Alternative Name / - Chrome n'a pas utilisé Nom commun à tous les 2 ans; les autres navigateurs ne le font que si le SAN est absent, ce qui n'était pas le cas pour les certificats (EE) des autorités de certification publiques depuis 2010, bien que vous puissiez l'organiser pour les certificats de test que vous créez vous-même. C'est exactement pourquoi vous pouvez obtenir un certificat pour plusieurs domaines - les anciens certificats utilisant uniquement le nom commun ne pouvaient pas le faire.

— dave_thompson_085

@djdomi un certificat générique pour *.example.comtoujours ne couvre pas le domaine nu example.com. Vous avez toujours besoin de deux valeurs dans le SAN.

— Michael - sqlbot

La plus grande raison d'éviter un certificat générique est que OP utilise LetsEncrypt. Alors que LetsEncrypt prend en charge les certificats génériques, cela nécessite un défi DNS. Relever un défi DNS est plus difficile à automatiser. De plus, l'automatisation d'un défi DNS peut signifier qu'un serveur compromis accordera aux attaquants l'accès à votre DNS. Il suffit donc d'utiliser un certificat UCC ou deux certificats (quelle approche n'a pas beaucoup d'importance. Faites ce qui est le plus facile).

— Brian