Chrome – Certifikatvarning – ogiltigt vanligt namn

by Posted on

inlagd i : Program, annat av Viktor Glinski Översätt med Google ⟶

2 år sedan

användare av Google Chrome version 58 (släppt mars 2017) och senare kommer att få en certifikatvarning när de surfar på HTTPS-webbplatser om certifikatet bara använder vanligt namn och inte använd inte några San-värden (subject alternative name). Detta har ignorerats och i många år användes fältet vanligt namn uteslutande. Chrome-utvecklarna hade äntligen nog med fältet som vägrar att dö. I Chrome 58 och senare ignoreras nu fältet Common Name helt.

Chrome-Certifikatvarning-ogiltigt commonName

Chrome-Certifikatvarning-NET:: ERR_CERT_COMMON_NAME_INVALID

anledningen till detta är att förhindra homograph attack – som utnyttjar tecken som är olika men liknar varandra. Lookalike-tecknen kan användas för phishing och andra skadliga ändamål. Till exempel ser den engelska bokstaven “a” identisk med den kyrilliska “a”, men ur datorsynpunkt kodas dessa som två helt olika bokstäver. Detta gör det möjligt att registrera domäner som ser ut precis som legitima domäner.
vissa organisationer med en intern eller privat PKI har utfärdat certifikat med endast Common Name-fältet. Många vet ofta inte att fältet” Common Name ” i ett SSL-certifikat, som innehåller domännamnet certifikatet är giltigt för, fasades ut via RFC för nästan två decennier sedan (RFC 2818 publicerades 2000). Istället är fältet SAN (Subject Alternative Name) den rätta platsen för att lista domänen(erna), som alla offentligt betrodda certifikatmyndigheter måste följa, har krävt närvaron av ett SAN (Subject Alternative Name) sedan 2012.
offentligt betrodda SSL-certifikat har stött båda fälten i flera år, vilket garanterar maximal kompatibilitet med all programvara – så du har inget att oroa dig för om ditt certifikat kom från en betrodd CA som Digicert.
nedan är ett exempel på ett korrekt utfärdat certifikat med vanligt namn och Ämnesalternativ.

xenit.se / techblogg-trivialnamn

xenit.se/techblogg -trivialnamn

xenit.se/techblogg -certifikat ämne alternativt namn

xenit.se/techblogg -Ämnesalternativ namn

RFC 2818-vanligt namn föråldrat av Google Chrome 58 och senare

“RFC 2818 beskriver två metoder för att matcha ett domännamn mot ett certifikat: använda de tillgängliga namnen inom subjectAlternativeName-tillägget eller, i avsaknad av ett SAN-tillägg, falla tillbaka till commonName.
/…
användningen av fälten subjectAlternativeName lämnar det otvetydigt om ett certifikat uttrycker en bindning till en IP-adress eller ett domännamn och är helt definierat i termer av dess interaktion med namnbegränsningar. CommonName är dock tvetydigt, och på grund av detta har stöd för det varit en källa till säkerhetsfel i Chrome, biblioteken som den använder och inom TLS-ekosystemet i stort.”
källa: https://developers.google.com/web/updates/2017/03/chrome-58-deprecations

taggar: certifikatvarning, vanligt namn, Google Chrome, ämnesalternativ namn

Published by admin

Lämna ett svar

Din e-postadress kommer inte publiceras.