Estoy buscando un certificado SSL y tomé estas capturas de pantalla de Chrome
y
¿Es el segundo certificado del sitio que muestra errores menos seguros que el otro que no muestra errores?
Se muestran dos informaciones de seguridad diferentes: sobre el certificado en sí y sobre el algoritmo de cifrado. La segunda parte (es decir, "conjunto de cifrado obsoleto ...") es independiente del certificado y depende de la configuración del servidor.
Pero la primera parte es sobre el certificado en sí. La principal diferencia aquí es que el primer sitio utiliza un certificado de una CA que admite transparencia del certificado , mientras que el segundo sitio no lo hace. Esto significa que la primera CA es más transparente sobre los certificados que emitió que la segunda y, por lo tanto, puede ser más confiable. La transparencia del certificado es (al menos con Chrome) por ahora se requiere principalmente para certificados de validación extendida (EV). Pero en el futuro, Chrome probablemente también lo requerirá para otros certificados.
Otra diferencia en la parte del certificado es "No se puede verificar si el certificado ha sido revocado". Chrome solo verifica los certificados seleccionados para su revocación, como los certificados EV y algunos otros que Google cree que son importantes. Obviamente, el certificado para el segundo sitio no fue lo suficientemente importante como para verificar su revocación y, por lo tanto, el certificado puede considerarse menos seguro, al menos dentro del navegador Chrome.
Y finalmente, la información para el primer sitio muestra más información sobre el sitio que visita, mientras que para el segundo sitio no obtuvo información, excepto quién firmó el certificado. Esto se debe a que el primer certificado es un certificado EV donde la CA verifica información comercial, etc., para verificar la identidad del propietario. En contraste, los certificados validados de dominio (DV) más baratos solo verifican si la parte es propietaria del dominio, al verificar si tiene acceso a direcciones de correo específicas o puede crear archivos específicos en el servidor. Esto es mucho más fácil de simular y, por lo tanto, estos certificados son menos confiables.
Por supuesto, la mayoría de los clientes no entienden todo esto de todos modos, pero podrían entender la diferencia entre una barra verde tranquilizadora para certificados EV y solo una pequeña indicación de seguridad para los otros certificados. Al final, es fácil para un atacante obtener un certificado DV para su propio sitio. Pero será mucho más difícil obtener un certificado EV debido a los procedimientos de verificación adicionales.
No entiendo por qué Chrome da ese informe. Tampoco puedo reproducirlo.
Pero esto tiene poco que ver con el proveedor de certificados. Aunque tener un servidor CRL / OCSP estable disponible las 24 horas del día, los 7 días de la semana es una marca de una buena CA, no creo que esto se aplique aquí. A Chrome no le importa o no debería importarle. (Detalles abajo).
Chrome muestra dos iconos de evaluación para una conexión cifrada:
Las definiciones oficiales de los iconos están aquí:
Todavía son relativamente nuevos, solo se presentaron en octubre:
Y además, hay un documento de 11 páginas que intenta explicarse en el nivel bajo:
Estoy confundido por el mensaje "No se puede verificar si el certificado ha sido revocado" . La razón es que una versión actual de Chrome ni siquiera debería haber revisado en primer lugar .
¿Estás ejecutando Chrome en una Mac? Que podría tener algo que ver con esto .
La ejecución del "conjunto de cifrado obsoleto" Y "los recursos que no son seguros" mostrará el icono rojo. Puede seguir diagnosticando con las herramientas F12 y el panel "Red" allí.
Se ha anunciado un panel de "Seguridad" para Chrome F12 DevTools . No ayuda en este momento, pero tal vez esto pueda ayudar a diagnosticar estos problemas en el futuro.
Estos errores no están realmente relacionados con el certificado en sí mismos. Puede utilizar suites de cifrado modernas u obsoletas con el mismo certificado.
La primera conexión es más segura, pero los certificados PUEDEN ser idénticos en seguridad. Está relacionado con las opciones de configuración de cifrado del servidor.
En el segundo caso, la información de revocación de certificados no estaba disponible, lo que, nuevamente, mientras que un servicio basado en los certificados no se ve afectado por los certificados en sí mismos. Sin embargo, es probable que este servicio sea proporcionado por la autoridad de certificación, por lo que puede ser un indicador de su cultura de seguridad.
No digo que los certificados sean igual de seguros, pero no hay suficiente información para decir que un certificado es mejor que el otro.
Lea otras preguntas en las etiquetas tls cipher-selection