Chrome–Certificate warning–Invalid Common Name

Posted in:Applications,Other By Viktor Glinski Translate with Google⟶

2年前

google Chromeバージョン58(March2017リリース)以降のユーザーは、証明書が共通名のみを使用し、HTTPSサイトを参照するときに証明書任意のサブジェクト代替名(San)値を使用します。 これは無視されており、長年にわたって共通名フィールドが排他的に使用されていました。 Chromeの開発者は最終的に死ぬことを拒否するフィールドで十分でした。 Chrome58以降では、Common Nameフィールドは完全に無視されるようになりました。

Chrome–Certificate warning–NET::ERR_CERT_COMMON_NAME_INVALID

この理由は、異なるが似ている文字を悪用するホモグラフ攻撃を防ぐためです。 似たような文字は、フィッシングやその他の悪意のある目的のために使用することができます。 例えば、英語の文字”a”はキリル文字”a”と同じように見えますが、コンピュータの観点からは、これらは全く異なる二つの文字としてエンコードされています。 これは正当な範囲のようにちょうど見る範囲が登録されているようにする。
内部PKIまたはプライベートPKIを持つ組織の中には、共通名フィールドのみを持つ証明書を発行しているものがあります。 多くの場合、証明書が有効なドメイン名を含むSSL証明書の”共通名”フィールドが、ほぼ二十年前にRFCによって段階的に廃止されたことを知らない（RFC2818は2000年に公開された）。 代わりに、SAN(Subject Alternative Name)フィールドは、すべての公的に信頼された認証局が遵守しなければならないドメインをリストする適切な場所であり、2012年以降SAN(Subject Alternative Name)の存在を必要としています。
公に信頼されているSSL証明書は、すべてのソフトウェアとの最大の互換性を保証するため、Digicertのような信頼されたCAからの証明書であるかどうかを心配する必要はありません。
以下は、共通名とサブジェクトの代替名を持つ正しく発行された証明書の例です。

xenit.se/techblogg -一般名

xenit.se/techblogg -サブジェクト代替名

RFC2818–Google Chrome58以降で廃止された共通名

“RFC2818では、subjectAlternativeName拡張内で使用可能な名前を使用するか、SAN拡張がない場合はcommonNameにフォールバックする
/…
subjectAlternativeNameフィールドを使用すると、証明書がIPアドレスまたはドメイン名へのバインディングを表現しているかどうかが明確になり、名前制約との相互作用 しかし、commonNameはあいまいであり、このため、Chrome、それが使用するライブラリ、およびTLSエコシステム全体でのセキュリティバグの原因となっています。”
ソース: https://developers.google.com/web/updates/2017/03/chrome-58-deprecations

タグ:証明書の警告、共通名、Google Chrome、件名の代替名