Nowe posty

xx Pomoc dla Lwa (kotka) (0)
Dzisiaj o 10:42:59
xx Mulenie strony [Tylko informacja] (0)
2020-02-25, 16:36:43
xx Film Hakerzy dla wolności 2018 lektor (0)
2020-02-25, 08:47:38
xx Mageia instalacja (1)
2020-02-24, 14:43:32
xx Zlecę skrypt w bashu (0)
2020-02-19, 14:07:39
xx Nadawanie praw katalogom takich, jak nazwa usera (4)
2020-02-17, 14:15:18
xx Fedora na laptopie HP 15-bs152nw brak wifi (44)
2020-02-16, 12:17:18
xx Komputer do nauki linuxa (10)
2020-02-15, 07:03:28
xx Patronat serwisow internetowych. (1)
2020-02-13, 00:13:24
xx Xfce-terminal v 0.8.7.4 - jak ustawić wklejanie skopiowanego tekstu? (3)
2020-02-12, 18:59:24

Autor Wątek: [OSTRZEŻENIE] Certyfikaty SSL i błąd NET::ERR_CERT_COMMON_NAME_INVALID  (Przeczytany 1660 razy)

Offline Paweł Kraszewski

  • Administrator
  • Guru
  • *****
  • Wiadomości: 2564
  • Lenistwo jest matką potrzeby = babcią wynalazku
    • Zobacz profil
    • keybase.io/pkraszewski
Cześć!

Nie pytanie a notatka.

W nowych Chrome'ach serii beta weszły nowe mechanizmy weryfikacji poprawności certyfikatów. Od teraz przeglądarka nie sprawdza pola CommonName do sprawdzenia powiązania certyfikat-domena. Jedynym teraz działającym mechanizmem jest pole subjectAltName i tam powinno być powiązanie certyfikat-domena.
Zawartość tego pola powinna mieć postać 'DNS:do.me.na1,DNS:do.me.na2,...', np dla certyfikatu na 1 domenę forum byłoby to 'DNS:forum.linux.pl', dla całego portalu 'DNS:www.linux.pl,DNS:forum.linux.pl', ewentualnie dla certyfikatów wildcardowych 'DNS:linux.pl,DNS:*.linux.pl'. Dodatkowo mechanizm rozróżnia duże i małe litery - a przeglądarka automatycznie zamienia część adresową w URL na małe. Więc dla  'DNS:Forum.Linux.PL' będzie dodatkowo błąd niezgodności certyfikatu z domeną, niezależnie jak wpisze się adres w przeglądarkę.

Efektem użycia "starego" certyfikatu jest błąd NET::ERR_CERT_COMMON_NAME_INVALID i albo całkowita niemożność wejścia na portal (z dodatkowym błędem HSTS) albo "tylko" czerwona kłódka.

Pozdrawiam i mam nadzieję, że oszczędziłem komuś siwych włosów.
Paweł Kraszewski
~Gentoo/FreeBSD/OpenBSD/Specjalizowane customy