Nowe posty

xx Dystrybucja pod HP Omen (6)
Wczoraj o 23:30:08
xx [Poradnik] Wyszukiwanie Sterowników (2)
Wczoraj o 21:08:23
lamp Problem z Linux Lite po instalacji (0)
Wczoraj o 19:50:30
xx Ile pingwinów? (1)
Wczoraj o 08:59:24
xx konfiguracja pale moon (0)
2024-03-24, 21:53:42
xx Plasma 6 w Neonie ssie trochę mniej ... (10)
2024-03-23, 02:38:11
xx problem z instalacja sterowników do karty sieciowej (3)
2024-03-18, 18:10:16
xx Plik abc.001 (1)
2024-03-17, 17:48:27
xx Zlecę dopracowanie programu w MatLab (0)
2024-03-13, 15:28:40
xx Linux Mint 21.3 XFCE brak dźwieku po paru minutach (karta muzyczna zintegrowana) (5)
2024-03-12, 23:07:01

Autor Wątek: [OSTRZEŻENIE] Certyfikaty SSL i błąd NET::ERR_CERT_COMMON_NAME_INVALID  (Przeczytany 2402 razy)

Offline Paweł Kraszewski

  • Administrator
  • Guru
  • *****
  • Wiadomości: 3049
  • Lenistwo jest matką potrzeby = babcią wynalazku
    • Zobacz profil
Cześć!

Nie pytanie a notatka.

W nowych Chrome'ach serii beta weszły nowe mechanizmy weryfikacji poprawności certyfikatów. Od teraz przeglądarka nie sprawdza pola CommonName do sprawdzenia powiązania certyfikat-domena. Jedynym teraz działającym mechanizmem jest pole subjectAltName i tam powinno być powiązanie certyfikat-domena.
Zawartość tego pola powinna mieć postać 'DNS:do.me.na1,DNS:do.me.na2,...', np dla certyfikatu na 1 domenę forum byłoby to 'DNS:forum.linux.pl', dla całego portalu 'DNS:www.linux.pl,DNS:forum.linux.pl', ewentualnie dla certyfikatów wildcardowych 'DNS:linux.pl,DNS:*.linux.pl'. Dodatkowo mechanizm rozróżnia duże i małe litery - a przeglądarka automatycznie zamienia część adresową w URL na małe. Więc dla  'DNS:Forum.Linux.PL' będzie dodatkowo błąd niezgodności certyfikatu z domeną, niezależnie jak wpisze się adres w przeglądarkę.

Efektem użycia "starego" certyfikatu jest błąd NET::ERR_CERT_COMMON_NAME_INVALID i albo całkowita niemożność wejścia na portal (z dodatkowym błędem HSTS) albo "tylko" czerwona kłódka.

Pozdrawiam i mam nadzieję, że oszczędziłem komuś siwych włosów.
Paweł Kraszewski
~Arch/Void/Gentoo/FreeBSD/OpenBSD/Specjalizowane customy