Chrome – tanúsítvány figyelmeztetés-érvénytelen Common Name

Kategória : Alkalmazások, Egyéb Viktor Glinski fordítás A Google ⟶

2 évvel ezelőtt

a felhasználók a Google Chrome 58-as verzió (megjelent március 2017), és később kap egy tanúsítvány riasztást böngészés közben a HTTPS-oldalak, ha a tanúsítvány csak használ közös nevet, és nem Használjon bármilyen subject alternative name (San) értéket. Ezt figyelmen kívül hagyták, és sok éven át kizárólag a Common Name mezőt használták. A Chrome fejlesztőinek végre elegük volt a meghalni nem hajlandó mezőből. A Chrome 58-as vagy újabb verzióiban a Common Name mezőt most teljesen figyelmen kívül hagyják.

Chrome-Certificate warning-Invalid commonName

Chrome – Certificate warning – NET::ERR_CERT_COMMON_NAME_INVALID

ennek az az oka, hogy megakadályozzák homograph támadás – amely kihasználja karakterek, amelyek különböznek, de hasonlítanak. A hasonló karakterek adathalászatra és egyéb rosszindulatú célokra használhatók. Például az angol “a” betű megegyezik a cirill “a” betűvel, de számítógépes szempontból ezeket két teljesen különböző betűként kódolják. Ez lehetővé teszi olyan domainek regisztrálását, amelyek ugyanúgy néznek ki, mint a törvényes domainek.
egyes belső vagy privát PKI-vel rendelkező szervezetek csak a Common Name mezővel adnak ki tanúsítványokat. Sokan gyakran nem tudják, hogy az SSL-tanúsítvány” Common Name ” mezőjét, amely azt a domain nevet tartalmazza, amelyre a tanúsítvány érvényes, majdnem két évtizeddel ezelőtt megszüntették az RFC-n keresztül (az RFC 2818 2000-ben jelent meg). Ehelyett a SAN(Subject Alternative Name) mező a megfelelő hely a domain (ek) felsorolására, amelyet minden nyilvánosan megbízható tanúsító hatóságnak be kell tartania, 2012 óta megköveteli a SAN (Subject Alternative Name) jelenlétét.
a nyilvánosan megbízható SSL tanúsítványok évek óta támogatják mindkét mezőt, biztosítva a maximális kompatibilitást az összes szoftverrel – így nem kell aggódnia, ha a tanúsítvány olyan megbízható CA-tól származik, mint a Digicert.
az alábbiakban bemutatunk egy példát egy helyesen kiadott tanúsítványra, amelynek közös neve és tárgy alternatív neve van.

 xenit.se / techblogg-közhasználatú név

xenit.se/techblogg -közhasználatú név

xenit.se/techblogg -tanúsítvány tárgya alternatív név

xenit.se/techblogg -Subject Alternative Name

RFC 2818-Common Name deprocated by Google Chrome 58 and later

“az RFC 2818 két módszert ír le a domain név tanúsítványhoz való illesztésére: a rendelkezésre álló nevek használata a subjectAlternativeName kiterjesztésen belül, vagy SAN kiterjesztés hiányában a commonName-re való visszatérés.
/ …
a subjectAlternativeName mezők használata egyértelművé teszi, hogy a tanúsítvány egy IP-címhez vagy egy domain névhez való kötődést fejez-e ki, és teljes mértékben meg van határozva a Névkorlátokkal való kölcsönhatása szempontjából. A közös név azonban kétértelmű, ezért a támogatása biztonsági hibák forrása volt a Chrome-ban, az általa használt könyvtárakban és általában a TLS ökoszisztémában.”
forrás: https://developers.google.com/web/updates/2017/03/chrome-58-deprecations

címkék: tanúsítvány figyelmeztetés, közönséges név, Google Chrome, tárgy alternatív neve

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.