O Chrome marca o certificado StartCom inválido para parte curinga

Navegue suas respostas
1

Meu certificado StartCom tem CN=opencpu.org e nomes alternativos para *.opencpu.org , bem como *.ocpu.io .

No entanto, após a atualização mais recente do Chrome, o Chrome marca o certificado SSL como válido para o primeiro site, mas não para o segundo. Por que é isso? O Chrome não permite mais vários curingas em um único certificado?

    
por Jeroen 08.04.2017 / 13:49

2 respostas

1

É um pouco complicado ver no Chrome o que está causando o problema, pois o botão Visualizar certificado está oculto no Menu (três pontos) > Mais ferramentas ... > Ferramentas para desenvolvedores > Separador: Segurança .

Lá, você poderia ter visto que o erro não era SSL_ERROR_BAD_CERT_DOMAIN como teria sido, se houvesse um problema em reconhecer o caractere curinga dentro do Nome alternativo do assunto / Nome DNS . Como resultado, o Chrome ainda tem suporte para vários curingas em um único certificado .

O erro provavelmente foi SSL_ERROR_UNKNOWN_CA_ALERT , pois o suporte do Google para o StartCom foi removido certificados no Chrome 56 lançados em janeiro de 2017, enquanto a versão principal estável atual é 57. O Mozilla Security Group fez o mesma decisão ao mesmo tempo no Firefox 51. Se você tivesse seu certificado funcionando anteriormente, você já estava usando uma versão descontinuada do seu navegador e ignorou pelo menos uma versão principal em suas atualizações.

    
por 08.04.2017 / 14:49
3

Não use mais os certificados start.com. Eles não são confiáveis para os navegadores atuais, incluindo Chrome, Firefox e Safari, e até mesmo os certificados que ainda funcionam no momento não serão confiáveis no futuro.

link

Vamos criptografar é uma alternativa boa e totalmente gratuita, embora eles não suportem certificados curinga.

    
por 08.04.2017 / 14:03

Tags

AWS EC2 otimizado para desempenho de rede Quais são os possíveis problemas de segurança com o TLD não sendo protegido com DNSSEC, mesmo se o subdomínio for?