Chrome – Certifikatadvarsel – ugyldigt almindeligt navn

by Posted on

sendt i : Applikationer, andet af Viktor Glinski Oversæt med Google &

2 år siden

brugere af Google Chrome version 58 (Udgivet marts 2017) og senere vil modtage en certifikatadvarsel, når du gennemser til HTTPS-sites, hvis certifikatet kun bruger almindeligt navn og bruger ikke nogen emne alternative navn (San) værdier. Dette er blevet ignoreret, og i mange år blev feltet Common Name udelukkende brugt. Chrome-udviklerne havde endelig nok med det felt, der nægter at dø. I Chrome 58 og nyere ignoreres feltet almindeligt navn nu helt.

Chrome-certifikat advarsel-ugyldig commonName

Chrome – certifikat advarsel – NET::ERR_CERT_COMMON_NAME_INVALID

årsagen til dette er at forhindre homografangreb – som udnytter tegn, der er forskellige, men ligner hinanden. De lookalike tegn kan bruges til phishing og andre ondsindede formål. For eksempel ser det engelske bogstav “a” identisk med det kyrilliske “a”, men fra et computers synspunkt er disse kodet som to helt forskellige bogstaver. Dette gør det muligt at registrere domæner, der ligner legitime domæner.
nogle organisationer med en intern eller privat PKI har udstedt certifikater med kun feltet Common Name. Mange ved ofte ikke, at feltet” almindeligt navn ” i et SSL-certifikat, der indeholder det domænenavn, certifikatet er gyldigt for, blev udfaset via RFC for næsten to årtier siden (RFC 2818 blev offentliggjort i 2000). I stedet er feltet SAN (Subject Alternative Name) det rette sted at liste domænerne, som alle offentligt betroede certifikatmyndigheder skal overholde, har krævet tilstedeværelse af et SAN(Subject Alternative Name) siden 2012.
offentligt betroede SSL-certifikater har understøttet begge felter i årevis, hvilket sikrer maksimal kompatibilitet med alle programmer – så du har intet at bekymre dig om, hvis dit certifikat kom fra en betroet CA som Digicert.
nedenfor er et eksempel på et korrekt udstedt certifikat med almindeligt navn og emne alternativt navn.

ksenit.se / techblogg - Dansk navn

xenit.se/techblogg -almindeligt anvendt navn

xenit.se/techblogg -certifikat emne alternativ navn

xenit.se/techblogg -emne alternativt navn

RFC 2818 – almindeligt navn udskrevet af Google Chrome 58 og senere

“RFC 2818 beskriver to metoder til at matche et domænenavn mod et certifikat: brug af de tilgængelige navne inden for subjectAlternativeName-udvidelsen eller, i mangel af en SAN-udvidelse, falder tilbage til commonName.
/ …
anvendelsen af felterne subjectAlternativeName gør det entydigt, om et certifikat udtrykker en binding til en IP-adresse eller et domænenavn, og er fuldt defineret i forhold til dets interaktion med Navnebegrænsninger. CommonName er imidlertid tvetydigt, og på grund af dette har support til det været en kilde til sikkerhedsfejl i Chrome, de biblioteker, den bruger, og inden for TLS-økosystemet som helhed.”
kilde: https://developers.google.com/web/updates/2017/03/chrome-58-deprecations

Tags: certifikat advarsel, almindeligt navn, Google Chrome, emne alternativ navn

Published by admin

Skriv et svar

Din e-mailadresse vil ikke blive publiceret.