Google Chrome blockiert seit Version 58 den Fallback auf den commonName und liefert eine Fehlermeldung, sofern die Domain nicht in der subjectAlternativeName-Erweiterung vorzufinden ist. Eine Fehlermeldung erscheint ebenfalls wenn die subjectAlternativeName-Erweiterung im Zertifikat gänzlich fehlt.
Das RFC 2818 beschreibt 2 Ansätze den Domain-Namen für ein Zertifikat zu validieren.
Zum einen wird der Abgleich mit der subjectAlternativeName-Erweiterung vorgenommen. Falls diese keine gültige Antwort liefert, wird, wenn es sich um kein SAN-Zertifkat handelt, der commonName des Zertifikats geprüft.
Der Fallback auf den commonName gilt jedoch als veraltet. Certification Authorities sind angehalten diesen Fall nicht weiter zu unterstützen. Viele SSL/TLS Clients unterstützen jedoch nach wie vor den Fallback auf den commonName.
So heißt es im RFC 2818:
If a subjectAltName extension of type dNSName is present, that MUST be used as the identity. Otherwise, the (most specific) Common Name field in the Subject field of the certificate MUST be used. Although the use of the Common Name is existing practice, it is deprecated and Certification Authorities are encouraged to use the dNSName instead.
Ob Sie Zertifikate im Einsatz haben, die den Domain-Name nicht in der subjectAlternativeName-Erweiterung enthält oder ob diese fehlt, zeigt Ihnen die Enginsight-Plattform.
