Chrome – Certifikát upozornění – Neplatný Společný Název
Publikováno v : Aplikace, Jiné Viktor Glinski Přeložit s Google ⟶
2 roky
Uživatelé prohlížeče Google Chrome verze 58 (vydáno. Března 2017) a později obdrží certifikát upozornění, když se procházení HTTPS-stránky, pokud certifikát používá pouze Společný Název a nepoužívá žádný Předmět Alternativní Název (SAN) hodnoty. Toto bylo ignorováno a po mnoho let se používalo výhradně pole společného jména. Vývojáři Chrome měli konečně dost pole, které odmítá zemřít. V prohlížeči Chrome 58 a novějších je nyní pole společného názvu zcela ignorováno.
Chrome – Certifikát upozornění – NET::ERR_CERT_COMMON_NAME_INVALID
důvodem pro to je, aby se zabránilo k danému lexému útok, který využívá znaky, které jsou odlišné, ale vypadají podobně. Lookalike znaky mohou být použity pro phishing a jiné škodlivé účely. Například anglické písmeno ” a “vypadá identicky s azbukou “a”, ale z pohledu počítače jsou zakódována jako dvě zcela odlišná písmena. To umožňuje registraci domén, které vypadají stejně jako legitimní domény.
některé organizace s interním nebo soukromým PKI vydávají certifikáty pouze s polem společného názvu. Mnozí často nevědí, že “Běžné Jméno” pole SSL certifikát, který obsahuje název domény, certifikát je platný pro, bylo postupně prostřednictvím RFC téměř před dvěma desítkami let (RFC 2818 byla zveřejněna v roce 2000). Místo toho pole SAN (Subject Alternative Name) je správným místem pro seznam domén,které musí dodržovat všechny veřejně důvěryhodné certifikační autority, od roku 2012 vyžaduje přítomnost SAN (Subject Alternative Name).
Veřejně-důvěryhodné SSL certifikáty podporují obě pole pro let, což zajišťuje maximální kompatibilitu se všemi software – takže se nemáte čeho bát, pokud certifikát pochází od důvěryhodné CA jako Digicert.
níže je uveden příklad správně vydaného certifikátu se společným názvem a alternativním názvem subjektu.
xenit.se/techblogg – Společný Název
xenit.se/techblogg – Předmět Alternativní Název
RFC 2818 – Společný Název zastaralé Google Chrome 58 a později
“RFC 2818 popisuje dvě metody, aby odpovídaly název domény, proti certifikátu: pomocí dispozici jména v subjectAlternativeName rozšíření, nebo, v nepřítomnosti SAN rozšíření, pádu zpět do commonName.
/…
použití subjectAlternativeName pole ponechává jednoznačné, zda certifikát je vyjádření vazby na IP adresu nebo název domény, a je plně definován z hlediska jeho interakce s Názvem Omezení. Nicméně, commonName je nejednoznačný, a proto, podpora pro něj byla zdrojem bezpečnostních chyb v prohlížeči Chrome, knihovny, které používá, a v rámci ekosystému TLS jako celku.”
zdroj: https://developers.google.com/web/updates/2017/03/chrome-58-deprecations
tagy: certifikát varování, obecný název, Google Chrome, předmět Alternativní název