下面的引用来自 google chrome 66 发行说明:
弃用
为本地锚点策略启用 CommonName 回退
提供 EnableCommonNameFallbackForLocalAnchors 策略是为了让管理员有更多时间来更新其本地证书。它消除了允许站点上使用缺少 subjectAlternativeName 扩展名的本地信任锚颁发的证书的功能。
从 Chrome M66 开始,我们将弃用此政策。如果运行 Chrome 66 的用户尝试访问不允许使用该证书的网站,他们将看到一条警告,指示他们无法信任该证书。
我使用的一些证书不包含Subject Alternative Name现在似乎是强制性的扩展。
考虑到我应该检查的证书数量,我不喜欢手动执行此操作。
有没有办法查询服务器并确定其证书是否具有Subject Alternative Name扩展名?
答案1
您可以编写一个脚本来循环主机名并用于openssl检查证书。
中的一个例子bash:
for host in host1.example.com host2.example.com host3.example.com ; do
echo ===== $host =====
openssl s_client -connect $host:443 < /dev/null 2> /dev/null \
| openssl x509 -noout -text \
| grep "Subject Alternative Name" -A2
done