Nowe posty

xx Iptables podział łącza (1)
Wczoraj o 18:05:09
xx Libreboot i 100% libre dystrybucja (2)
Wczoraj o 17:07:34
xx Libreboot i 100% libre dystrybucja (0)
Wczoraj o 13:41:04
xx Swap w serwerach http (1)
2019-11-21, 18:50:33
xx Czy mój ls to malware, czy nie malware (15)
2019-11-21, 12:24:59
xx Linux mint na Panasonic CF-53 (5)
2019-11-20, 12:56:05
xx Problem z uruchomieniem Kali Linux! (9)
2019-11-18, 22:40:25
xx postfix otrzymane emaile from z mojej domeny (2)
2019-11-18, 07:59:13
xx Zmiana części pliku tekstowego (sed?) (5)
2019-11-17, 16:31:07
xx Prawy przycisk myszy - > Nowy plik (4)
2019-11-14, 21:35:55

Autor Wątek: [OSTRZEŻENIE] Certyfikaty SSL i błąd NET::ERR_CERT_COMMON_NAME_INVALID  (Przeczytany 1555 razy)

Offline Paweł Kraszewski

  • Administrator
  • Guru
  • *****
  • Wiadomości: 2528
  • Lenistwo jest matką potrzeby = babcią wynalazku
    • Zobacz profil
    • keybase.io/pkraszewski
Cześć!

Nie pytanie a notatka.

W nowych Chrome'ach serii beta weszły nowe mechanizmy weryfikacji poprawności certyfikatów. Od teraz przeglądarka nie sprawdza pola CommonName do sprawdzenia powiązania certyfikat-domena. Jedynym teraz działającym mechanizmem jest pole subjectAltName i tam powinno być powiązanie certyfikat-domena.
Zawartość tego pola powinna mieć postać 'DNS:do.me.na1,DNS:do.me.na2,...', np dla certyfikatu na 1 domenę forum byłoby to 'DNS:forum.linux.pl', dla całego portalu 'DNS:www.linux.pl,DNS:forum.linux.pl', ewentualnie dla certyfikatów wildcardowych 'DNS:linux.pl,DNS:*.linux.pl'. Dodatkowo mechanizm rozróżnia duże i małe litery - a przeglądarka automatycznie zamienia część adresową w URL na małe. Więc dla  'DNS:Forum.Linux.PL' będzie dodatkowo błąd niezgodności certyfikatu z domeną, niezależnie jak wpisze się adres w przeglądarkę.

Efektem użycia "starego" certyfikatu jest błąd NET::ERR_CERT_COMMON_NAME_INVALID i albo całkowita niemożność wejścia na portal (z dodatkowym błędem HSTS) albo "tylko" czerwona kłódka.

Pozdrawiam i mam nadzieję, że oszczędziłem komuś siwych włosów.
Paweł Kraszewski
~Gentoo/FreeBSD/OpenBSD/Specjalizowane customy