Nowe posty

Autor Wątek: [OSTRZEŻENIE] Certyfikaty SSL i błąd NET::ERR_CERT_COMMON_NAME_INVALID  (Przeczytany 1569 razy)

Offline Paweł Kraszewski

  • Administrator
  • Guru
  • *****
  • Wiadomości: 2534
  • Lenistwo jest matką potrzeby = babcią wynalazku
    • Zobacz profil
    • keybase.io/pkraszewski
Cześć!

Nie pytanie a notatka.

W nowych Chrome'ach serii beta weszły nowe mechanizmy weryfikacji poprawności certyfikatów. Od teraz przeglądarka nie sprawdza pola CommonName do sprawdzenia powiązania certyfikat-domena. Jedynym teraz działającym mechanizmem jest pole subjectAltName i tam powinno być powiązanie certyfikat-domena.
Zawartość tego pola powinna mieć postać 'DNS:do.me.na1,DNS:do.me.na2,...', np dla certyfikatu na 1 domenę forum byłoby to 'DNS:forum.linux.pl', dla całego portalu 'DNS:www.linux.pl,DNS:forum.linux.pl', ewentualnie dla certyfikatów wildcardowych 'DNS:linux.pl,DNS:*.linux.pl'. Dodatkowo mechanizm rozróżnia duże i małe litery - a przeglądarka automatycznie zamienia część adresową w URL na małe. Więc dla  'DNS:Forum.Linux.PL' będzie dodatkowo błąd niezgodności certyfikatu z domeną, niezależnie jak wpisze się adres w przeglądarkę.

Efektem użycia "starego" certyfikatu jest błąd NET::ERR_CERT_COMMON_NAME_INVALID i albo całkowita niemożność wejścia na portal (z dodatkowym błędem HSTS) albo "tylko" czerwona kłódka.

Pozdrawiam i mam nadzieję, że oszczędziłem komuś siwych włosów.
Paweł Kraszewski
~Gentoo/FreeBSD/OpenBSD/Specjalizowane customy