我有多个使用SSL保护的网站。全部来自同一提供商。 Chrome在一个域中说：


  该站点使用弱安全配置（SHA-1签名），因此
  您的连接可能不是私人的。


我在ssllabs.com上测试了该域，并得到了A。还在shaaaaaaaaaaaaaaa.com上进行了测试，结果表明，我的域具有可验证的证书链，该证书链用SHA-2签名。

这是我在Apache2中的SSL设置：

SSLEngine on
SSLProtocol all -SSLv3 -SSLv2
SSLHonorCipherOrder On
SSLInsecureRenegotiation off
SSLCipherSuite "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA"
SSLCertificateFile /etc/ssl/certs/xxxcert.cert
SSLCertificateKeyFile /etc/ssl/private/xxxkey.key
SSLCertificateChainFile /etc/ssl/certs/sub.class1.server.ca.pem

问题可能是链中向上的证书使用SHA1，而您自己的证书使用SHA2。我的建议是查看是否可以找到使用SHA2的链文件的更新版本。

鉴于Google announced this in September 2014，您现在会认为任何信誉良好的证书颁发机构都将提供安全链文件。

您可以在以下位置找到有关此特定问题的更多信息：Why Chrome Thinks your SHA-2 Certificate Chain is "Affirmatively Insecure"

有关Google为什么不使用SHA1的更多信息，请访问：Why Google is Hurrying the Web to Kill SHA-1。