Прощание с Common Name

Отказ от поля Common Name в пользу Subject Alternative Name

300300

Поле Common Name, находящееся в списке обязательных у x.509v3-сертификата, по сути уже более 15 лет как мало используется. Причина проста – есть поле Subject Alternative Name, позволяющее задать несколько имён субъекта, и именно в него записываются фактически анализируемые строки.

Но Common Name никто не отменял и оно продолжает анализироваться, чем вызывается пачка различных рекомендаций вида “главное имя надо выделить и записать туда”.

Вышедший на днях 58й Google Chrome ставит точку в этой ситуации – он не читает это поле вообще. То, что выход из неоднозначной ситуации с дублирующимися по смыслу полями будет таким – предсказывалось уже некоторое время назад, равно как и были обсуждения о проблемах безопасности, связанных с использованием Common Name.

Попасть в ситуацию, что ваш сертификат будет иметь только Common Name, не продублированный в SAN – нереально – ну, разве что если это ваша внутренняя PKI с проблемами на уровне конфигурирования.

Как выглядит ошибка?

Google Chrome 58+ будет возвращать NET::ERR_CERT_COMMON_NAME_INVALID, если вы пытаетесь подключиться к ресурсу с именем, которое указано только в Common Name его сертификата, но отсутствует в SAN.

Что делать, если всё завязано на Common Name

Если вы умудрились до сих пор эксплуатировать локальную PKI, в которой смело выписываете сертификаты, указывая имена субъектов в Common Name, существует промежуточное решение для временного решения ситуации.

Откройте ключ реестра:

HKLM\Software\Policies\Google\Chrome\

и создайте там параметр EnableCommonNameFallbackForLocalAnchors типа DWORD32 и со значением в единицу. Google Chrome продолжит анализировать Common Name у сертификатов.

Но, в общем-то, это нужно воспринимать исключительно как временную меру.




Leave a Comment Yourself