Prüfen Sie, ob mein SSL-Zertifikat SHA1 oder SHA2 ist
Ich habe versucht, die Antwort darauf zu finden, konnte aber keine Antwort finden ...
Wie überprüfe ich, ob mein SSL-Zertifikat SHA1 oder SHA2 verwendet?
Ich frage deshalb, weil das Zertifikat möglicherweise nicht auf Mozilla Browers geladen wird.
Irgendwelche Ideen? Kann ich das cPanel überprüfen?
Sie können dies überprüfen, indem Sie die Website in Ihrem Browser besuchen und das Zertifikat anzeigen, das der Browser erhalten hat. Die Details dazu können von Browser zu Browser variieren. Wenn Sie jedoch auf das Schlosssymbol klicken oder mit der rechten Maustaste darauf klicken, sollte es eine Option zum Anzeigen der Zertifikatdetails geben.
Suchen Sie in der Liste der Zertifikatfelder nach einem namens "Zertifikatsignaturalgorithmus". (Für das StackOverflow-Zertifikat lautet der Wert "PKCS # 1 SHA-1 mit RSA-Verschlüsselung".)
Verwenden Sie die Linux-Befehlszeile
Verwenden Sie die Befehlszeile, wie in dieser verwandten Frage beschrieben: Wie überprüfe ich, ob mein SSL-Zertifikat SHA1 oder SHA2 in der Befehlszeile ist?.
Befehl
Hier ist der Befehl. Ersetzen Sie www.yoursite.com:443 entsprechend Ihren Anforderungen. Der SSL-Standardport ist 443:
openssl s_client -connect www.yoursite.com:443 < /dev/null 2>/dev/null \
| openssl x509 -text -in /dev/stdin | grep "Signature Algorithm"
Ergebnisse
Dies sollte für sha1 so etwas wie folgt zurückgeben:
Signature Algorithm: sha1WithRSAEncryption
oder das für die neuere Version:
Signature Algorithm: sha256WithRSAEncryption
Verweise
Der Artikel Warum Google das Web dazu bringt SHA-1 zu töten beschreibt genau das, was Sie erwarten würden und hat auch eine hübsche Grafik.
Update: Die folgende Site wird nicht mehr ausgeführt, da auf der Site Folgendes gesagt wird:
Seit dem 1. Januar 2016 darf keine öffentlich vertrauenswürdige Zertifizierungsstelle ein SHA-1-Zertifikat ausstellen. Darüber hinaus wurde die Unterstützung für SHA-1 Anfang 2017 von den meisten modernen Browsern und Betriebssystemen aufgehoben. Jedes neue Zertifikat, das Sie erhalten, sollte automatisch einen SHA-2-Algorithmus für die Signatur verwenden.
Ältere Kunden akzeptieren weiterhin SHA-1-Zertifikate. Am 31. Dezember 2015 kann ein Zertifikat beantragt werden, das 39 Monate gültig ist. So ist es möglich, SHA-1-Zertifikate in freier Wildbahn zu sehen, die Anfang 2019 ablaufen.
Ursprüngliche Antwort:
Sie können auch https://shaaaaaaaaaaaaa.com/ - verwenden, um diese bestimmte Aufgabe zu vereinfachen. Die Site verfügt über ein Textfeld - Sie geben den Domain-Namen Ihrer Site ein, klicken auf die Schaltfläche Start und sagen dann, ob die Site SHA1 oder SHA2 verwendet.
openssl s_client -connect api.cscglobal.com:443 < /dev/null 2>/dev/null | openssl x509 -text -in /dev/stdin | grep "Signature Algorithm" | cut -d ":" -f2 | uniq | sed '/^$/d' | sed -e 's/^[ \t]*//'
Ich musste dies leicht ändern, um auf einem Windows-System verwendet zu werden. Hier ist die Einzeiler-Version für eine Windows-Box.
openssl.exe s_client -connect yoursitename.com:443 > CertInfo.txt && openssl x509 -text -in CertInfo.txt | find "Signature Algorithm" && del CertInfo.txt /F
Getestet auf Server 2012 R2 mit http://iWeb.dl.sourceforge.net/project/gnuwin32/openssl/0.9.8h-1/openssl-0.9.8h-1-bin.Zip