Google Chrome vo verzii 58 úplne prestáva kontrolovať Common name použitého SSL certifikátu.
Zákazníci SSLmarketu sa však vôbec nemusia znepokojovať – je to len dôsledok mnohoročnej snahy používať v certifikátoch iba DNS názvy.
Čo sa v Chrome 58 mení?
V novej verzii 58 Chrome mení spôsob kontroly domén uvedených v SSL/TLS certifikáte. Prehliadač po zadaní adresy domény zabezpečenej SSL certifikátom vykoná tzv. handshake, počas ktorého si zo servera stiahne certifikát s verejným kľúčom a „dohodne“ si detaily zabezpečenej komunikácie. Počas pripájania na zabezpečený server prehliadač kontroluje, pre akú doménu je certifikát vystavený; samozrejme musí súhlasiť, inak zobrazí bezpečnostné varovanie.
Chrome už teraz nebude kontrolovať Common name certifikátu (teda „hlavnú doménu“), ale iba hodnoty v poli alternatívny názov subjektu certifikátu (subjectAltName). V ňom sú uvedené všetky DNS názvy, pre ktoré certifikát platí. Ak je na doméne certifikát vystavený pre doménu inú, alebo ju neobsahuje, tak pripájanie skončí chybou a používateľ bude upozornený a vyzvaný na opustenie webu.
Zákazníkov SSLmarketu sa zmena netýka
Zákazníci SSLmarketu sa môžu spoľahnúť na to, že sa ich táto zmena nedotkne. Všetky certifikáty vystavené CA Symantec, Thawte, GeoTrust a RapidSSL obsahujú Common name aj ako DNS názov a sú s prehliadačom Chrome úplne kompatibilné.
Novinku je možné dočasne obísť
Pokiaľ vo vašej infraštruktúre znamená spomínaná novinka prehliadača Chrome problém, tak ju môžete dočasne vypnúť. Vo Windows registroch nájdite vetvu HKEY_LOCAL_MACHINE\Software\Policies\Google\ chrome a v nej vytvorte hodnotu REG_DWORD pomenovanú EnableCommonNameFallbackForLocalAnchors a s hodnotou 1.
Táto možnosť je však dostupná iba do verzie 65, keď ju Google z prehliadača Chrome definitívne odstráni. Mali by ste ju preto používať len v kritických prípadoch, a to len dočasne.
Autor: Ing. Peter Tomaščík – špecialista na bezpečnostné SSL certifikáty, www.sslmarket.sk
Tento článok vyšiel aj v tlačenom júnovom vydaní TOUCHIT č. 6/2017, preto sa niektoré skutočnosti uvedené v článku, môžu odlišovať oproti aktuálnemu dátumu publikovania.