谷歌浏览器说我的 SSL 使用过时的安全设置，但其他站点测试不同意

Question

我在我的 Web 服务器上安装了 StartSSL，该服务器在 CentOS 6.5 上运行 Linux Apache。shaaaaaaaaaaaaa.com 说

好的。example.com 有一个使用 SHA-2 签名的可验证证书链。

但是 Debian 7.8 上的 Google Chrome 说

连接使用 AES_128_CBC 加密，使用 SHA1 进行身份验证，使用 ECDHE_RSA 作为密钥交换机制。

在 Debian 机器上，我做了

mkdir ~/StartComCerts
mv /etc/ssl/certs/StartCom* ~/StartComCerts

问题就解决了。但是，预期客户对其计算机进行更改并不是一个可行的解决方案。所以我从 ssls.com 购买了 GeoTrust QuickSSL Premium 证书。然后我去了https://knowledge.geotrust.com/support/knowledge-base，它说“证书安装正确”。但是，当我在 Debian 7.8 上使用 Chrome 访问我的网站时，我收到以下消息：

此站点使用弱安全配置（SHA-1 签名），因此您的连接可能不是私密的。

和

该网站正在使用过时的安全设置，这可能会阻止未来版本的 Chrome 能够安全地访问它。

我在 www.ssllabs.com/ssltest/analyze.html 上测试了我的网站。它给我的网站打了 A，并说我的签名算法是 SHA256withRSA。我去了 shaaaaaaaaaaaaa.com 说

好的。example.com 有一个使用 SHA-2 签名的可验证证书链。

我去了whynopadlock.com，一切都得到了肯定。我还在另一台运行 Windows 7 的计算机上使用 Chrome 进行了测试，得到了一个没有错误消息的绿色挂锁。

我不知道为什么我在 Debian 上的 Chrome 上收到 SHA-1 错误。

编辑 - 2015-06-15

我在某些 Windows 系统上也有一个 Sha-1 问题。下面是我的家用 Windows 系统（左）和我的工作 Windows 系统（右）上 Google Chrome 的屏幕截图。它似乎在不同的系统上使用 Sha-1 缓存证书。我按照 GeoTrust 给出的说明设置了中间证书。

编辑：

我有一个家庭企业，这是我的网站的目的。

Answer 1

问题是您的 Windows 计算机安装了 Avast 防病毒软件。Avast 在网站和 Google Chrome 之间注入 SSL 证书。请参阅左图顶部的“Avast web/mail shield”。

由于 Chrome 会验证本地欺骗证书，因此 Google Chrome 会在您的计算机上显示警告。Avast AntiVirus 会欺骗 SSL 证书，以便他们可以查看和扫描 SSL 流量。像 Qualys SSL 实验室这样的扫描会告诉你真相。

您可以禁用 Avast Web/Mail shield 并在 Google Chrome 中重试。这样，Chrome 将验证您的服务器提供的证书，而不是 Avast 在您的服务器和 Google Chrome 之间注入的注入/欺骗 SSL 证书。

在左图中，您正在查看有关 Avast SSL 证书的信息。在有关您自己的 GeoTrust SSL 证书信息的权利上。

我假设您还在 Debian 机器上使用 Linux 版本的 Avast，这会产生与在 Windows 机器上类似的情况。