Google kräver alla att SSL cert använder SHA-2 från Nov. 2014
 

Denna 'nyheten' är ett par veckor gammal, men väldigt många har nog missat den.
Google kräver alltså att alla SSL cert. ska använda SHA-2 eftersom SHA-1 inte är säkert nog. Enligt denna artikeln använder runt 90% av alla sajter SHA-1 idag.

Väljer man att inte generera ett nytt SSL cert med SHA-2, så kommer Goole att varna besökarna i Chrome att sajten har ett bristfälligt SSL cert.

Detta börjar rulla ut redan nu i November 2014.

Läs mera här och här.

Testa (om du inte vet) om dina sajt's SSL använder SHA-1 el. SHA-2 på denna sajten.

Det känns ju lite halvkul att få upp den varningen på var och varannan sajt man besöker. Kanske dags att byta webbläsare igen.

Nu är det ju inget som 'poppar' upp, utan en indikering i adressfältet precis som det är nu när en sajt t.ex. har glömt att förnya sitt SSL cert.
https://konklone.com/assets/images/b...e-warnings.png

Google har makt att förändra och verkar inte rädda för att använda den.

Default får man väl ändå en varning i helskärm i chrome där man måste välja "Proceed anyway"?

Vid self-signed ser det ut som om de dessutom byter till att man först måste expandera för att visa val och sedan kan välja att fortsätta.

Intressant med tanke på att många av Googles egna tjänster kör SHA-1. Exempelvis Youtube.com och Google.com(!) (inkl /analytics, /adsense, /adwords osv).

Visst är det så att om ens certifikat måste förnyas före 2017 så kommer inte Chrome varna?

Hade helt missat det här.

Hade en hel del RapidSSL-certifikat för en del sajter och de issuas med SHA1 per standard tydligen. Som tur är kunde man logga in på deras portal och re-issua certifikaten till SHA2.

Kul att se att man gick från A till A+ i Qualys SSL-test på sajterna med efter uppgraderingen :).

Tackar för tipset!