Nowe posty

xx Fedora xfce i flatpak oraz snap (2)
Dzisiaj o 11:01:14
xx Strona o testach penetracyjnych, hackingu (34)
2022-05-25, 11:40:38
xx Repozytorium z czcionkami M$ (2)
2022-05-24, 17:58:30
xx Pomoc w wyborze środowiska graficznego (11)
2022-05-23, 22:41:56
xx Usunąłem przez przypadek /bin co zrobić? (2)
2022-05-23, 21:36:24
xx Obrócony obraz lubuntu, xubuntu na lenovo Miix 320 (6)
2022-05-23, 11:56:25
xx Pierwsze kroki w Arch (9)
2022-05-22, 23:39:51
xx DBus (0)
2022-05-22, 12:47:35
xx Przedni panel (1)
2022-05-20, 01:34:35
xx Modem Medion S4222 jak zainstalować aplikację do jego obsługi? (52)
2022-05-18, 10:14:49

Autor Wątek: [OSTRZEŻENIE] Certyfikaty SSL i błąd NET::ERR_CERT_COMMON_NAME_INVALID  (Przeczytany 2113 razy)

Offline Paweł Kraszewski

  • Administrator
  • Guru
  • *****
  • Wiadomości: 2812
  • Lenistwo jest matką potrzeby = babcią wynalazku
    • Zobacz profil
Cześć!

Nie pytanie a notatka.

W nowych Chrome'ach serii beta weszły nowe mechanizmy weryfikacji poprawności certyfikatów. Od teraz przeglądarka nie sprawdza pola CommonName do sprawdzenia powiązania certyfikat-domena. Jedynym teraz działającym mechanizmem jest pole subjectAltName i tam powinno być powiązanie certyfikat-domena.
Zawartość tego pola powinna mieć postać 'DNS:do.me.na1,DNS:do.me.na2,...', np dla certyfikatu na 1 domenę forum byłoby to 'DNS:forum.linux.pl', dla całego portalu 'DNS:www.linux.pl,DNS:forum.linux.pl', ewentualnie dla certyfikatów wildcardowych 'DNS:linux.pl,DNS:*.linux.pl'. Dodatkowo mechanizm rozróżnia duże i małe litery - a przeglądarka automatycznie zamienia część adresową w URL na małe. Więc dla  'DNS:Forum.Linux.PL' będzie dodatkowo błąd niezgodności certyfikatu z domeną, niezależnie jak wpisze się adres w przeglądarkę.

Efektem użycia "starego" certyfikatu jest błąd NET::ERR_CERT_COMMON_NAME_INVALID i albo całkowita niemożność wejścia na portal (z dodatkowym błędem HSTS) albo "tylko" czerwona kłódka.

Pozdrawiam i mam nadzieję, że oszczędziłem komuś siwych włosów.
Paweł Kraszewski
~Arch/Void/Gentoo/FreeBSD/OpenBSD/Specjalizowane customy