Chrome/Chromium 中的 NET::ERR_CERT_REVOKED,随 MacOS Catalina 引入

Chrome/Chromium 中的 NET::ERR_CERT_REVOKED,随 MacOS Catalina 引入

我正在测试每次硬重置后都会生成新的自签名证书的设备。

在安装 MacOS Catalina 后,Chrome(和 Brave)的最新版本立即开始抛出异常NET::ERR_CERT_REVOKED,尽管该设备肯定没有发布的 CRL,并且重置时生成的证书具有唯一的序列号。

错误消息的形式如下:

您不能访问[地址已删除]目前无法访问,因为其证书已被吊销。网络错误和攻击通常是暂时的,因此此页面稍后可能会恢复正常。

单击“高级”按钮无法解决此错误。

这是怎么回事?我该如何解决这个问题,而不会让我的浏览器不安全(就像告诉它无差别地忽略所有证书错误一样)?

答案1

Apple 已针对 Catalina 接受的 SSL 证书引入了一系列新要求,详情可参见https://support.apple.com/en-us/HT210176。这里总结一下:

  • 密钥大小必须至少为 2048 位。
  • 哈希算法必须是 SHA-2 或更新版本。
  • DNS 名称必须位于 SubjectAltName 中,而不仅仅位于 CN 字段中。

此外,对于 2019-07-01 之后颁发的证书:

  • 必须存在 ExtendedKeyUsage 扩展,并带有 id-kp-ServerAuth OID。
  • 有效期不得超过825天。

...以及 2020-08-01 之后颁发的证书(根据HT211025):

  • 有效期不得超过398天

答案2

快速解决方法(确保您信任该网站)

在 Chrome 浏览器的页面上,输入:

thisisunsafe

答案3

如果您需要一种解决方法来使网站正常运行而无需替换证书,您可以执行以下操作。

  1. 从服务器下载证书(使用其他浏览器或使用 openssl)
  2. 将证书安装到登录存储下的 Keychain Access 中
  3. 安装证书后,双击将其设置为“始终信任”。

答案4

2020 年 9 月后颁发的证书的其他信息:

2020 年 9 月 1 日 00:00 GMT/UTC 或之后颁发的 TLS 服务器证书的有效期不得超过 398 天

https://support.apple.com/en-us/HT211025

https://support.apple.com/en-us/HT210176

相关内容