Chrome – Certificate warning – Invalid Common Name
Posted in : Aplikacje, Inne By Viktor Gliński Translate with Google ⟶
2 years ago
użytkownicy Google Chrome w wersji 58 (wydanej w marcu 2017) i nowszej otrzymają alert certyfikatu podczas przeglądania witryn HTTPS, jeśli certyfikat używa tylko nazwy zwyczajowej i nie nie używać żadnych wartości nazwy alternatywnej podmiotu (San). Zostało to zignorowane i przez wiele lat używane było wyłącznie Pole nazwy zwyczajowej. Twórcy Chrome w końcu mieli dość pola, które odmawia śmierci. W Chrome 58 i nowszych, Pole nazwy zwyczajowej jest teraz całkowicie ignorowane.
Chrome – Certificate warning – NET::ERR_CERT_COMMON_NAME_INVALID
powodem tego jest zapobieganie atakowi homograph – który wykorzystuje znaki, które są różne, ale wyglądają podobnie. Podobne znaki mogą być używane do phishingu i innych złośliwych celów. Przykładowo, angielska litera ” a “wygląda identycznie do cyrylicy” a”, jednak z komputerowego punktu widzenia są one zakodowane jako dwie zupełnie odmienne litery. Pozwala to na rejestrację domen, które wyglądają jak legalne domeny.
niektóre organizacje z wewnętrznym lub prywatnym PKI wystawiały certyfikaty tylko z polem nazwy zwyczajowej. Wiele osób często nie wie, że pole” nazwa zwyczajowa ” certyfikatu SSL, które zawiera nazwę domeny, dla której certyfikat jest ważny, zostało wycofane przez RFC prawie dwie dekady temu (RFC 2818 zostało opublikowane w 2000 roku). Zamiast tego pole SAN(Subject Alternative Name) jest właściwym miejscem na listę domen, których muszą przestrzegać wszystkie publicznie zaufane urzędy certyfikacji, wymagało obecności SAN (Subject Alternative Name) od 2012 roku.
publicznie zaufane certyfikaty SSL wspierają oba pola od lat, zapewniając maksymalną kompatybilność z całym oprogramowaniem-więc nie musisz się martwić, jeśli twój certyfikat pochodzi z zaufanego urzędu certyfikacji, takiego jak Digicert.
Poniżej znajduje się przykład prawidłowo wydanego certyfikatu z nazwą zwyczajową i alternatywną nazwą przedmiotu.
xenit.se/techblogg -nazwa zwyczajowa
xenit.se/techblogg – nazwa alternatywna obiektu
RFC 2818-nazwa zwyczajowa wycofana przez Google Chrome 58 i późniejsze
“RFC 2818 opisuje dwie metody dopasowania nazwy domeny do certyfikatu: użycie dostępnych nazw w rozszerzeniu subjectAlternativeName lub, w przypadku braku rozszerzenia SAN, powrót do nazwy commonName.
/…
użycie pól subjectAlternativeName pozostawia jednoznaczne, czy certyfikat wyraża powiązanie z adresem IP lub nazwą domeny, i jest w pełni zdefiniowane pod względem interakcji z ograniczeniami nazwy. Jednak nazwa commonName jest niejednoznaczna i z tego powodu wsparcie dla niej było źródłem błędów bezpieczeństwa w Chrome, bibliotekach, z których korzysta, oraz w całym ekosystemie TLS.”
źródło: https://developers.google.com/web/updates/2017/03/chrome-58-deprecations
Tagi: ostrzeżenie o certyfikacie, nazwa zwyczajowa, Google Chrome, nazwa alternatywna tematu