Chrome – Certificate warning – Invalid Common Name
Veröffentlicht in : Anwendungen, Andere Von Viktor Glinski Translate with Google ⟶
vor 2 Jahren
Benutzer von Google Chrome Version 58 (veröffentlicht März 2017) und später erhalten eine Zertifikatwarnung beim Surfen auf HTTPS-Sites, wenn das Zertifikat nur Common Name verwendet und nicht verwenden Sie beliebige SAN-Werte (Subject Alternative Name). Dies wurde ignoriert und viele Jahre lang wurde ausschließlich das Common Name-Feld verwendet. Die Chrome-Entwickler hatten endlich genug mit dem Feld, das sich weigert zu sterben. In Chrome 58 und höher wird das Feld Allgemeiner Name jetzt vollständig ignoriert.
Chrome – Certificate warning – NET::ERR_CERT_COMMON_NAME_INVALID
Der Grund dafür ist homograph Angriff zu verhindern – die Zeichen ausnutzt, die unterschiedlich sind, aber ähnlich aussehen. Die Lookalike-Zeichen können für Phishing und andere bösartige Zwecke verwendet werden. Zum Beispiel sieht der englische Buchstabe “a” identisch mit dem kyrillischen “a” aus, aber aus Computersicht sind diese als zwei völlig unterschiedliche Buchstaben codiert. Dadurch können Domains registriert werden, die genau wie legitime Domains aussehen.
Einige Organisationen mit einer internen oder privaten PKI haben Zertifikate nur mit dem Feld Common Name ausgestellt. Viele wissen oft nicht, dass das Feld “Common Name” eines SSL-Zertifikats, das den Domainnamen enthält, für den das Zertifikat gültig ist, vor fast zwei Jahrzehnten über RFC abgeschafft wurde (RFC 2818 wurde im Jahr 2000 veröffentlicht). Stattdessen ist das SAN-Feld (Subject Alternative Name) der richtige Ort, um die Domäne (n) aufzulisten, an die sich alle öffentlich vertrauenswürdigen Zertifizierungsstellen halten müssen und für die seit 2012 ein SAN (Subject Alternative Name) erforderlich ist.
Öffentlich vertrauenswürdige SSL-Zertifikate unterstützen seit Jahren beide Bereiche und gewährleisten maximale Kompatibilität mit allen Softwareprogrammen. Sie müssen sich also keine Sorgen machen, wenn Ihr Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle wie Digicert stammt.
Unten ist ein Beispiel für ein korrekt ausgestelltes Zertifikat mit Common Name und Subject Alternative Name.
xenit.se/techblogg – Gebräuchliche Bezeichnung
xenit.se/techblogg – Subject Alternative Name
RFC 2818 – Common Name deprecated by Google Chrome 58 and later
“RFC 2818 beschreibt zwei Methoden zum Abgleichen eines Domänennamens mit einem Zertifikat: Verwenden der verfügbaren Namen innerhalb der subjectAlternativeName-Erweiterung oder, wenn keine SAN-Erweiterung vorhanden ist, Zurückfallen auf den CommonName.
/…
Die Verwendung der subjectAlternativeName-Felder lässt eindeutig erkennen, ob ein Zertifikat eine Bindung an eine IP-Adresse oder einen Domänennamen ausdrückt, und ist hinsichtlich seiner Interaktion mit Namensbeschränkungen vollständig definiert. Der CommonName ist jedoch mehrdeutig, und aus diesem Grund war die Unterstützung für ihn eine Quelle von Sicherheitslücken in Chrome, den verwendeten Bibliotheken und im gesamten TLS-Ökosystem.”
Quelle: https://developers.google.com/web/updates/2017/03/chrome-58-deprecations
Tags : Zertifikatswarnung, allgemeiner Name, Google Chrome, alternativer Betreff