Vérifier si mon certificat SSL est SHA1 ou SHA2
j'ai essayé de trouver la réponse mais je n'ai pas trouvé de réponse...
Comment puis-je vérifier si mon certificat SSL utilise SHA1 ou SHA2?
Pourquoi je demande, c'est parce qu'il pourrait avoir à faire avec le certificat n'est pas de chargement sur Mozilla Browers....
des idées? Je peux passer par cPanel?
5 réponses
vous pouvez vérifier en visitant le site dans votre navigateur et en regardant le certificat que le navigateur a reçu. Les détails de la façon de le faire peuvent varier d'un navigateur à l'autre, mais généralement, si vous cliquez ou cliquez avec le bouton droit de la souris sur l'icône de verrouillage, il devrait y avoir une option pour afficher les détails du certificat.
dans la liste des champs de certificat, cherchez un"algorithme de Signature de certificat". (Pour le certificat de StackOverflow, sa valeur est " PKCS #1 SHA-1 With RSA Cryptage.")
utilisez la ligne de commande Linux
utilisez la ligne de commande, comme décrit dans cette question connexe: Comment puis-je vérifier si mon certificat SSL est SHA1 ou SHA2 sur la ligne de commande .
commande
voici la commande. Remplacez www.yoursite.com:443 pour répondre à vos besoins. Le port SSL par défaut est 443:
openssl s_client -connect www.yoursite.com:443 < /dev/null 2>/dev/null \
| openssl x509 -text -in /dev/stdin | grep "Signature Algorithm"
résultats
ceci devrait retourner quelque chose comme ceci pour le sha1:
Signature Algorithm: sha1WithRSAEncryption
ou ceci pour la nouvelle version:
Signature Algorithm: sha256WithRSAEncryption
Références
l'article Pourquoi Google presse le Web pour tuer SHA-1 décrit exactement ce que vous attendez et a un joli graphique, aussi.
mise à jour: le site ci-dessous ne tourne plus parce que, comme ils disent sur le site:
depuis le 1er janvier 2016, aucune AC de confiance publique n'est autorisée à émettre un certificat SHA-1. En outre, le support SHA-1 a été supprimé par la plupart des navigateurs et systèmes d'exploitation modernes au début de 2017. Tout nouveau certificat que vous obtenez devrait automatiquement utiliser un algorithme SHA-2 pour sa signature.
les anciens clients continueront pour accepter les certificats SHA-1, et il est possible d'avoir demandé un certificat le 31 décembre 2015 qui est valide pour 39 mois. Ainsi, il est possible de voir les certificats SHA-1 dans la nature qui expirent au début de 2019.
réponse originale:
vous pouvez également utiliser https://shaaaaaaaaaaaaa.com / - mis en place pour faciliter cette tâche particulière. Le site a une zone de texte - vous tapez dans votre nom de domaine site, cliquez sur le Go bouton et il vous dit ensuite si le site utilise SHA1 ou SHA2.
openssl s_client -connect api.cscglobal.com:443 < /dev/null 2>/dev/null | openssl x509 -text -in /dev/stdin | grep "Signature Algorithm" | cut -d ":" -f2 | uniq | sed '/^$/d' | sed -e 's/^[ \t]*//'
j'ai dû le modifier légèrement pour pouvoir l'utiliser sur un système Windows. Voici la version one-liner pour une boîte windows.
openssl.exe s_client -connect yoursitename.com:443 > CertInfo.txt && openssl x509 -text -in CertInfo.txt | find "Signature Algorithm" && del CertInfo.txt /F
testé sur le serveur 2012 R2 en utilisant http://iweb.dl.sourceforge.net/project/gnuwin32/openssl/0.9.8h-1/openssl-0.9.8h-1-bin.zip