Zertifkatsfehler bei fehlenden Subject Alternative Names

Inhalt

Google Chrome blockiert seit Version 58 den Fallback auf den commonName und liefert eine Fehlermeldung, sofern die Domain nicht in der subjectAlternativeName-Erweiterung vorzufinden ist. Eine Fehlermeldung erscheint ebenfalls wenn die subjectAlternativeName-Erweiterung im Zertifikat gänzlich fehlt.

Das RFC 2818 beschreibt 2 Ansätze den Domain-Namen für ein Zertifikat zu validieren.
Zum einen wird der Abgleich mit der subjectAlternativeName-Erweiterung vorgenommen. Falls diese keine gültige Antwort liefert, wird, wenn es sich um kein SAN-Zertifkat handelt, der commonName des Zertifikats geprüft.

Der Fallback auf den commonName gilt jedoch als veraltet. Certification Authorities sind angehalten diesen Fall nicht weiter zu unterstützen. Viele SSL/TLS Clients unterstützen jedoch nach wie vor den Fallback auf den commonName.

So heißt es im RFC 2818:
If a subjectAltName extension of type dNSName is present, that MUST be used as the identity. Otherwise, the (most specific) Common Name field in the Subject field of the certificate MUST be used. Although the use of the Common Name is existing practice, it is deprecated and Certification Authorities are encouraged to use the dNSName instead.

Ob Sie Zertifikate im Einsatz haben, die den Domain-Name nicht in der subjectAlternativeName-Erweiterung enthält oder ob diese fehlt, zeigt Ihnen die Enginsight-Plattform.

Schreiben Sie uns

 

Share on linkedin
Share on twitter
Share on facebook
Der IT-Security Newsletter

News rund um Enginsight und IT-Sicherheit für clevere Admins, CISOs und alle Sicherheits-Verantwortlichen

Weitere interessante Security-Beiträge

Neuigkeiten über Enginsight, IT-Sicherheit, IT-Monitoring, Asset-Management, Risikomanagement und vieles mehr aus der Security-Branche, erfahren Sie in unserem Blog.

NGS-Fantasy
7-Tage Newsletter
Werden Sie zum Helden Ihrer Kunden

7 Tage Wissen und Insights für IT-Security Dienstleister.

Enginsight Logo