我正在测试每次硬重置后都会生成新的自签名证书的设备。
在安装 MacOS Catalina 后,Chrome(和 Brave)的最新版本立即开始抛出异常NET::ERR_CERT_REVOKED,尽管该设备肯定没有发布的 CRL,并且重置时生成的证书具有唯一的序列号。
错误消息的形式如下:
您不能访问[地址已删除]目前无法访问,因为其证书已被吊销。网络错误和攻击通常是暂时的,因此此页面稍后可能会恢复正常。
单击“高级”按钮无法解决此错误。
这是怎么回事?我该如何解决这个问题,而不会让我的浏览器不安全(就像告诉它无差别地忽略所有证书错误一样)?
答案1
Apple 已针对 Catalina 接受的 SSL 证书引入了一系列新要求,详情可参见https://support.apple.com/en-us/HT210176。这里总结一下:
- 密钥大小必须至少为 2048 位。
- 哈希算法必须是 SHA-2 或更新版本。
- DNS 名称必须位于 SubjectAltName 中,而不仅仅位于 CN 字段中。
此外,对于 2019-07-01 之后颁发的证书:
- 必须存在 ExtendedKeyUsage 扩展,并带有 id-kp-ServerAuth OID。
- 有效期不得超过825天。
...以及 2020-08-01 之后颁发的证书(根据HT211025):
- 有效期不得超过398天
答案2
快速解决方法(确保您信任该网站)
在 Chrome 浏览器的页面上,输入:
thisisunsafe
答案3
如果您需要一种解决方法来使网站正常运行而无需替换证书,您可以执行以下操作。
- 从服务器下载证书(使用其他浏览器或使用 openssl)
- 将证书安装到登录存储下的 Keychain Access 中
- 安装证书后,双击将其设置为“始终信任”。
答案4
2020 年 9 月后颁发的证书的其他信息:
2020 年 9 月 1 日 00:00 GMT/UTC 或之后颁发的 TLS 服务器证书的有效期不得超过 398 天