Chrome-Certificate warning-ongeldige Common Name

Posted in : Applications, Other door Viktor Glinski vertaal met Google ⟶

2 jaar geleden

gebruikers van Google Chrome versie 58 (uitgegeven in maart 2017) en later zullen een certificaat alert ontvangen bij het bladeren naar HTTPS-sites als het certificaat alleen Common Name gebruikt en geen Subject Alternative Name (SAN) waarden gebruikt. Dit is genegeerd en voor vele jaren werd het veld Common Name uitsluitend gebruikt. De Chrome-ontwikkelaars hadden eindelijk genoeg met het veld dat weigert te sterven. In Chrome 58 en hoger wordt het veld Common Name nu volledig genegeerd.

Chrome-Certificate warning-ongeldige commonName

Chrome-Certificate warning-NET:: ERR_CERT_COMMON_NAME_INVALID

de reden hiervoor is om homograph attack te voorkomen-die verschillende tekens gebruikt die er op lijken. De lookalike tekens kunnen worden gebruikt voor phishing en andere kwaadaardige doeleinden. Bijvoorbeeld, de Engelse letter “a” lijkt identiek aan de Cyrillische “a”, maar vanuit een computer oogpunt zijn deze gecodeerd als twee totaal verschillende letters. Hierdoor kunnen domeinen worden geregistreerd die er net als legitieme domeinen uitzien.
sommige organisaties met een interne of particuliere PKI hebben certificaten uitgegeven met alleen het veld Common Name. Velen weten vaak niet dat het veld” Common Name ” van een SSL-certificaat, dat de domeinnaam bevat waarvoor het certificaat geldig is, bijna twee decennia geleden via RFC werd uitgefaseerd (RFC 2818 werd gepubliceerd in 2000). In plaats daarvan is het veld SAN(Subject Alternative Name) de juiste plaats om de domein (s) te vermelden, waaraan alle publiek vertrouwde certificaatautoriteiten zich moeten houden, heeft sinds 2012 de aanwezigheid van een SAN (Subject Alternative Name) vereist.
publiek vertrouwde SSL-certificaten ondersteunen beide velden al jaren, wat zorgt voor maximale compatibiliteit met alle software – dus u hoeft zich geen zorgen te maken of uw certificaat afkomstig is van een vertrouwde CA zoals Digicert.
Hieronder is een voorbeeld van een correct afgegeven certificaat met algemene naam en alternatieve naam van het onderwerp.

xenit.se/techblogg - Gemeenschappelijke Naam

xenit.se/techblogg – Gemeenschappelijke Naam

xenit.se/techblogg - Certificaat Alternatieve naam voor Onderwerp

xenit.se/techblogg – Alternatieve Naam voor Onderwerp

RFC 2818 – Gemeenschappelijke Naam afgekeurd door Google Chrome 58 en later

“RFC 2818 beschrijft twee methoden om een domeinnaam tegen een certificaat: met behulp van de beschikbare namen binnen de subjectAlternativeName verlenging, of bij afwezigheid van een SAN-uitbreiding, terug te vallen tot de commonName.
/ …
het gebruik van de subjectAlternativeName velden laat het eenduidig of een certificaat een binding aan een IP-adres of een domeinnaam uitdrukt, en is volledig gedefinieerd in termen van de interactie met naambeperkingen. Echter, de commonName is dubbelzinnig, en daarom, ondersteuning voor het is een bron van de beveiliging bugs in Chrome, de bibliotheken die het gebruikt, en binnen het TLS-ecosysteem in het algemeen.”
bron: https://developers.google.com/web/updates/2017/03/chrome-58-deprecations

Tags: certificaat waarschuwing, algemene naam, Google Chrome, onderwerp alternatieve naam

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.