Lista de consulta de sites para verificar a conformidade do certificado SSL com o chrome 66

Navegue suas respostas
1

A citação abaixo é de notas de lançamento do google chrome 66:

Deprecations

Enable CommonName fallback for local anchors policy

The EnableCommonNameFallbackForLocalAnchors policy was offered to give admins more time to update their local certificates. It removes the ability to allow certificates on sites using a certificate issued by local trust anchors that are missing the subjectAlternativeName extension.

As of Chrome M66, we will be deprecating this policy. If a user running Chrome 66 tries to access a site where the certificate isn't allowed, they will see a warning indicating they can't trust the certificate.

Alguns dos certificados que estou usando não contêm a extensão Subject Alternative Name , que agora parece ser obrigatória.

Eu não sou fã de fazer isso manualmente, dada a quantidade de certificados que eu deveria estar verificando.

Existe uma maneira de consultar servidores e determinar se seus certificados têm a extensão Subject Alternative Name ou não?

    
por Ezwig 18.07.2018 / 16:13

1 resposta

3

Você pode escrever um script para percorrer seus nomes de host e usar openssl para verificar os certificados.

Um exemplo em bash : 

for host in host1.example.com host2.example.com host3.example.com ; do
    echo ===== $host =====
    openssl s_client -connect $host:443 < /dev/null 2> /dev/null \
      | openssl x509 -noout -text \
      | grep "Subject Alternative Name" -A2
done
    
por 18.07.2018 / 16:59

Tags

Fedora: Como faço para forçar todos os pacotes instalados para uma única versão? O cliente NFS recebe permissão de erro negado