Estou tentando descobrir por que o Chromium não está satisfeito com um certificado TLS e como corrigi-lo:
Após atualizar & reiniciando o Chromium (agora 58.0.3029.81, rodando em testes Debian), não consigo mais acessar nosso servidor GitLab interno (instalado no Debian Jessie, através do pacote omnibus). Eu recebo:
Your connection is not private
Attackers might be trying to steal your information from git.ourdomain.net (for example, passwords, messages, or credit cards). NET::ERR_CERT_COMMON_NAME_INVALID
O certificado é assinado com nossa CA interna, que é instalada no armazenamento do sistema (colocando-a em /usr/local/share/ca-certificates
). Eu verifiquei o site com o Firefox 52 e openssl s_client -verify 5 -verify_return_error -connect git.ourdomain.net:443
; ambos estão felizes. O OpenSSL mostra a cadeia como:
Certificate chain
0 s:/C=US/ST=Virginia/L=Sterling/O=«us»/OU=Servers/CN=git.ourdomain.net
i:/C=US/ST=Virginia/L=Sterling/O=«us»/CN=«us» Certification Authority/[email protected]
O OpenSSL e o Firefox mostram assinaturas strongs (SHA-512) e cifras (AES-GCM). O certificado (de acordo com openssl x509 -text
) é sha512WithRSAEncryption, com uma chave RSA de 4096 bits. Ele possui um tipo de cliente SSL do Netscape Cert, servidor SSL.
Nota: «us» e ourdomain.net são redações; a saída real tem o nome da empresa para «us» e nosso domínio real para ourdomain.net. Eu cuidadosamente verifiquei que todos os ourdomain.net realmente combinam.
Até onde eu sei, não há nada errado com o certificado, e o nome comum (git.ourdomain.net) é perfeitamente válido e corresponde ao URL - então, do que o Chromium está reclamando? E, supondo que não seja um problema real, existe alguma maneira de substituí-lo?