Advertencia de certificado de Chrome – Nombre común no válido
Publicado en : Aplicaciones, Otros Por Viktor Glinski Traducir con Google ⟶
Hace 2 años
Los usuarios de la versión 58 de Google Chrome (publicada en marzo de 2017) y posteriores recibirán una alerta de certificado cuando naveguen a sitios HTTPS si el certificado solo usa Nombre Común no utilice ningún valor de Nombre Alternativo de Sujeto (SAN). Esto ha sido ignorado y durante muchos años el campo de Nombre Común se utilizó exclusivamente. Los desarrolladores de Chrome finalmente tuvieron suficiente con el campo que se niega a morir. En Chrome 58 y versiones posteriores, el campo de Nombre común ahora se ignora por completo.
Advertencia de certificado Chrome-NET:: ERR_CERT_COMMON_NAME_INVALID
La razón de esto es para evitar el ataque de homógrafo, que explota caracteres que son diferentes pero parecen similares. Los personajes similares se pueden usar para phishing y otros fines maliciosos. Por ejemplo, la letra “a” en inglés parece idéntica a la “a” en cirílico, pero desde el punto de vista de las computadoras, estas están codificadas como dos letras completamente diferentes. Esto permite registrar dominios que se parecen a dominios legítimos.
Algunas organizaciones con una PKI interna o privada han estado emitiendo certificados con solo el campo Nombre común. Muchos a menudo no saben que el campo” Nombre común ” de un certificado SSL, que contiene el nombre de dominio para el que es válido el certificado, se eliminó gradualmente a través de RFC hace casi dos décadas (RFC 2818 se publicó en 2000). En su lugar, el campo SAN (Nombre Alternativo del Sujeto) es el lugar adecuado para listar el dominio(s), que todas las autoridades de certificación de confianza pública deben respetar, ha requerido la presencia de un SAN (Nombre Alternativo del Sujeto) desde 2012.
Los certificados SSL de confianza pública han sido compatibles con ambos campos durante años, lo que garantiza la máxima compatibilidad con todo el software, por lo que no tiene de qué preocuparse si su certificado proviene de una CA de confianza como Digicert.
A continuación se muestra un ejemplo de certificado emitido correctamente con Nombre Común y Nombre Alternativo del Sujeto.
xenit.se/techblogg -Nombre Común
xenit.se/techblogg -Nombre alternativo del sujeto
RFC 2818 – Nombre común obsoleto de Google Chrome 58 y posteriores
” RFC 2818 describe dos métodos para comparar un nombre de dominio con un certificado: usar los nombres disponibles dentro de la extensión subjectAlternativeName o, en ausencia de una extensión SAN, volver al nombre común.
/ El uso de los campos subjectAlternativeName deja claro si un certificado expresa un enlace a una dirección IP o un nombre de dominio, y está completamente definido en términos de su interacción con las restricciones de Nombre. Sin embargo, el nombre común es ambiguo, y debido a esto, su soporte ha sido una fuente de errores de seguridad en Chrome, las bibliotecas que utiliza y dentro del ecosistema TLS en general.”
Fuente: https://developers.google.com/web/updates/2017/03/chrome-58-deprecations
Etiquetas: advertencia de certificado, nombre común, Google Chrome, nombre alternativo del sujeto