MacOS上的Chrome出现“ERR\u CERT\u WEAK\u SIGNATURE\u ALGORITHM”警告

单击添加（钥匙串必须登录，如上图所示）

钥匙链实用程序应该在此时自动打开，如果没有，请在Mac上打开钥匙链实用程序。在登录密钥链中找到证书（下面的示例图片）

>

双击它的钥匙链，它会打开，点击小三角形展开“信任”项目。

选择项目“安全套接字层（SSL）”，并输入值“始终信任”

• 单击证书窗口上的红色X按钮关闭证书。它将要求您输入密码以保存证书的新设置

• 输入密码，单击更新设置

它现在将显示一个蓝色图标，以及一条消息，告诉它被标记为您的帐户受信任。

就是这样。

Chrome消息将消失，因为现在证书是可信的。

注意：你现在可能在想...“我从来没有在另一台Mac上做过”，你解释说你在另一台Mac上Chrome没有这个问题。我想在另一台Mac上，你至少使用Safari访问过该公司网址一次。当你通过Safari访问时，它会像Chrome一样向你发出类似的警告，但如果你在Safari上接受它，它会自动透明地为你执行所有这些教程过程：它只是询问你是否想继续，你点击“继续”，Safari问你密码，然后它将证书放在钥匙串上，并将其标记为受信任（就像我们一样），但透明。下次访问公司URL时，不会询问您，因为它的证书在您的钥匙串上已经受信任。稍后，如果您使用Chrome访问它，它不会询问您，因为它会看到钥匙串已经将该公司证书视为受信任的。

这很可能是您的其他Mac没有这种情况的原因。

PS：我本可以在这里回答：使用Safari访问它，接受并继续，它将不再询问。但这不是正确的答案。它不会解释原因，并且不在您提出的场景中。既然您使用的是Chrome，我就从您在这里介绍的具体应用和具体情况出发，描述了这个过程，并澄清了背后的原因。

当然，现在，既然您知道有两种方法可以制作此证书安装过程，您可以选择您更喜欢的方法。

_

注：@patrick-mevzek提到

“在MacOS上，您必须将该证书添加到密钥链”，每次证书更改或续订时，您都需要再次添加该证书。如果由私人CA签名，并且如果您在信任存储中添加CA，那么您将面临各种MitMhtml" target="_blank">攻击，因为该CA可以为任何名称签名证书，这通常是/可能是公司PKI内的标准设置，但您必须注意后果。"

我同意@patrick-mevzek的观点，他是对的，他在这个话题上做了一个重要的观察。

我扩展了他提到的观点（特别是针对MacOS），展示了如何检查要添加到密钥链中的公司证书是CA证书还是只是一个常见的无害端到端SSL证书。

再次打开该证书，向下滚动它的信息，直到找到如下图所示的“使用”项。

下图中有两种证书：

>

在右边，有一个简单而通用的SSL证书，用于所有网站和internet域，其目的只是在您和访问的域之间进行端到端加密，以加密您的流量。它不能用作连接流量数据的MitM解密程序。这种钥匙链是完全安全的。

让我们考虑一下，您遇到了一个危险的情况，该证书是CA证书，您添加并信任了它。

有没有办法让你知道你的流量是否被你的公司解密，你的信息是否被曝光？

是的，有。

在任何浏览器上，当您访问任何重要网站时，请选择一家银行，例如，在本例中，我选择“hsbc.com.br”，我将显示这两种情况：

• 通常的端到端加密必须是
• MitM情况解密银行敏感私人数据。

在访问任何重要的https站点时，即使您看到chrome或safari上的绿色图标指示连接已加密，如果您想确保没有人在中间，请检查其证书。

_

这是正常的

现在，让我们在中间放置一个代理，并执行MitM atack。

这是我几分钟前刚刚访问过的同一家汇丰银行，但我在我的网络上插入了一个MitM代理技术，我在我的MacOS钥匙链上信任这种证书[CA证书]。

让我们看看Chrome对银行网站的介绍：

它告诉我它是安全的，还说我的信息将是私人的！

但是Chrome是错的！！（而且它不知道它是错的，因为它超越了它）

很容易注意到区别，伪造的汇丰银行证书是由我自己的个人证书颁发机构在我的网络内颁发的。这是由我的代理自动完成的，它能够以纯TXT格式以两种方式阅读我在汇丰银行网站上插入的所有信息。然后它再次加密数据并发送到我的浏览器，反之亦然，在与汇丰银行服务器通话时执行相同的重新加密。

浏览器“认为”一切正常，因为连接是加密的，证书上的站点名称与我正在访问的URL地址匹配，证书是有效的，证书在我的密钥链上受信任的CA机构！

技术上一切都很好，但事实并非如此。

正如帕特里克·梅夫泽克（PatrickMevzek）所说，这是真正的危险，你必须意识到。