Самоподписанный сертификат перестал приниматься в Chrome

1

2

У меня для некоторых моих собственных сервисов, которые посещаю только я, установлен HTTPS с моими самоподписанными сертификатами. Я это завел в июле прошлого года и почти год все было нормально, до вчерашнего дня. Соответственно, на всех моих устройствах импортирован мой CA-сертификат. После вчерашнего обновления Chrome я не могу зайти ни на один такой сайт, он перестал принимать мой сертификат. Отфутболивает с ошибкой:

NET::ERR_CERT_COMMON_NAME_INVALID

Если открыть консоль разработчика и перейти на вкладку Security, то там более подробная ошибка:

Subject Alternative Name Missing
The certificate for this site does not contain a Subject Alternative Name extension containing a domain name or IP address.

Погуглив n-ное количество времени, я нашел, что за эту дрянь отвечает настройка Google policy с названием «EnableCommonNameFallbackForLocalAnchors». Ее даже можно посмотреть на странице chrome://policy. Но я не знаю, как ее отключить, она не редактируется. Как мне отключить эту дрянь?

Ссылка

←	Помогите разобраться с Exim + TLS

Как считывать клавиши F1...F12?

→

Выпиши нормальный сертификат.

Vovka-Korovka ★★★★★
(21.04.17 17:05:07 MSK)

Ответ на: комментарий от Vovka-Korovka 21.04.17 17:05:07 MSK

У меня нормальный сертификат. Я не собираюсь выписывать заново сертификаты для кучи серверов только потому, что какой-то дядя что-то там обновил и в результате у меня все грохнулось. И не только у меня, на let's encrypt такие же проблемы. Как отключить эту идиотскую фичу, которую внедрили в Chrome?

Rinaldus ★★★★★
(21.04.17 17:16:22 MSK) автор топика

Ответ на: комментарий от Rinaldus 21.04.17 17:16:22 MSK

У меня нормальный сертификат.

Нет. В нормальных сертификатах заполняют Alternative Names.

Vovka-Korovka ★★★★★
(21.04.17 17:21:12 MSK)

Ответ на: комментарий от Rinaldus 21.04.17 17:16:22 MSK

Нет у ЛЕ-сертификатов такой проблемы.

imul ★★★★★
(21.04.17 21:29:09 MSK)

Ссылка

Может тебе сделать сертефикаты с «Subject Alternative Name extension», а в браузере ничего не трогать?

torvn77 ★★★★★
(21.04.17 21:38:26 MSK)

Ссылка

Ответ на: комментарий от Vovka-Korovka 21.04.17 17:21:12 MSK

Не обязательно. В некоторых случаев хватает только CN

snaf ★★★★★
(22.04.17 11:48:34 MSK)

Ответ на: комментарий от snaf 22.04.17 11:48:34 MSK

Доменное имя в CN — это ЕМНИП старый грязный хак, который работает ещё только по воле соместимости с глюкадромами прошлого.

beastie ★★★★★
(22.04.17 11:51:53 MSK)

Ответ на: комментарий от beastie 22.04.17 11:51:53 MSK

Доменное имя в CN — это ЕМНИП старый грязный хак

это почему? Он же для этого и был придуман.

snaf ★★★★★
(22.04.17 12:00:23 MSK)

Ответ на: комментарий от snaf 22.04.17 12:00:23 MSK

Тут вот неплохо описано: http://stackoverflow.com/questions/5935369/ssl-how-do-common-names-cn-and-sub...

TL;DR: Although the use of the Common Name is existing practice, it is deprecated and Certification Authorities are encouraged to use the dNSName instead. (RFC 2818)

beastie ★★★★★
(22.04.17 12:08:30 MSK)
Последнее исправление: beastie 22.04.17 12:12:14 MSK (всего исправлений: 1)

Ответ на: комментарий от snaf 22.04.17 11:48:34 MSK

Не обязательно. В некоторых случаев хватает только CN

А в некоторых уже не хватает. Все нормальные CA заполняют. В RFC 2818 для HTTPS давно (17 лет!) объявлено устаревшим. Так что стоны не понятны.

Vovka-Korovka ★★★★★
(22.04.17 20:50:34 MSK)

Ссылка

Ответ на: комментарий от beastie 22.04.17 12:08:30 MSK

так не сказано почему это «грязный хак»

snaf ★★★★★
(23.04.17 00:49:20 MSK)

Ответ на: комментарий от snaf 23.04.17 00:49:20 MSK

Потому что в commonName может быть что угодно, а не только доменное имя.

5.4. cn

   This is the X.500 commonName attribute, which contains a name of an
   object.  If the object corresponds to a person, it is typically the
   person's full name.

Ref: https://www.ietf.org/rfc/rfc2256.txt

beastie ★★★★★
(23.04.17 01:13:56 MSK)

Ответ на: комментарий от beastie 23.04.17 01:13:56 MSK

Теоретически - да. Но на практике и Firefox и Chrome всегда требовали, чтобы значение CommonName было поддомен, к которому относится сертификат. Иначе - отфутболивали. Зачем надо было это дело ужесточать, требовать еще каких-то левых параметров, не понимаю.

Rinaldus ★★★★★
(23.04.17 01:31:08 MSK) автор топика

Ответ на: комментарий от Rinaldus 23.04.17 01:31:08 MSK

Скорее практически — ты сам на это нарвался. CN проверяется только, если не установлен SAN. И всё идёт к тому, что будет ещё жёстче.

beastie ★★★★★
(23.04.17 01:36:52 MSK)
Последнее исправление: beastie 23.04.17 01:39:36 MSK (всего исправлений: 1)

Ссылка

k@null ~ % cat /etc/chromium/policies/managed/EnableForLocalAnchors.json { «EnableSha1ForLocalAnchors» : true, «EnableCommonNameFallbackForLocalAnchors» : true}

anonymous
(01.05.17 04:56:51 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Помогите разобраться с Exim + TLS

General

Как считывать клавиши F1...F12?

→

Похожие темы