O que significa o Chromium NET :: ERR_CERT_COMMON_NAME_INVALID?

1

Estou tentando descobrir por que o Chromium não está satisfeito com um certificado TLS e como corrigi-lo:

Após atualizar & reiniciando o Chromium (agora 58.0.3029.81, rodando em testes Debian), não consigo mais acessar nosso servidor GitLab interno (instalado no Debian Jessie, através do pacote omnibus). Eu recebo:

Your connection is not private

Attackers might be trying to steal your information from git.ourdomain.net (for example, passwords, messages, or credit cards). NET::ERR_CERT_COMMON_NAME_INVALID

O certificado é assinado com nossa CA interna, que é instalada no armazenamento do sistema (colocando-a em /usr/local/share/ca-certificates ). Eu verifiquei o site com o Firefox 52 e openssl s_client -verify 5 -verify_return_error -connect git.ourdomain.net:443 ; ambos estão felizes. O OpenSSL mostra a cadeia como:

Certificate chain
 0 s:/C=US/ST=Virginia/L=Sterling/O=«us»/OU=Servers/CN=git.ourdomain.net
   i:/C=US/ST=Virginia/L=Sterling/O=«us»/CN=«us» Certification Authority/[email protected]

O OpenSSL e o Firefox mostram assinaturas strongs (SHA-512) e cifras (AES-GCM). O certificado (de acordo com openssl x509 -text ) é sha512WithRSAEncryption, com uma chave RSA de 4096 bits. Ele possui um tipo de cliente SSL do Netscape Cert, servidor SSL.

Nota: «us» e ourdomain.net são redações; a saída real tem o nome da empresa para «us» e nosso domínio real para ourdomain.net. Eu cuidadosamente verifiquei que todos os ourdomain.net realmente combinam.

Até onde eu sei, não há nada errado com o certificado, e o nome comum (git.ourdomain.net) é perfeitamente válido e corresponde ao URL - então, do que o Chromium está reclamando? E, supondo que não seja um problema real, existe alguma maneira de substituí-lo?

    
por derobert 01.05.2017 / 19:54

1 resposta

3

Parece que o erro do Chromium 308330 acredita que existe o risco de um correspondência falsa ao corresponder nomes de host a nomes comuns de certificados e, portanto, desativá-los. O Chromium agora será compatível apenas com a extensão subjectAltName. O Firefox fez uma alteração semelhante, mas limitou-se a apenas novos certificados emitidos por autoridades de certificação públicas, não internas. É por isso que o Firefox ainda funciona.

A alteração do Chromium pode ser substituída ao definir a política EnableCommonNameFallbackForLocalAnchors , que pode criar /etc/chromium/policies/managed/use-common-names.json com conteúdo como:

{
    "EnableCommonNameFallbackForLocalAnchors": true
}

Parece que você precisa reiniciar o Chromium depois de criar isso.

    
por 01.05.2017 / 20:26