使用 Chrom 删除内部网站的 SSL 警告

使用 Chrom 删除内部网站的 SSL 警告

我使用的是由我们内部 CA 生成的签名 SSL 证书。我添加了主题备用名称,以便 myserver.example.net 和 myserver 都对站点有效。这在 Firefox 和 IE 中都可以正常工作,但在 Chrome 中,当用户使用短名称 myserver 时,他们仍然会收到 [1] 警告消息(“此站点的身份尚未验证。”)。CA 已安装,Chrom 在使用 FQDN 时可以正常找到它。当使用主机名(“uname -n”)(SAN 的一部分)时,证书将变为未验证状态。如所示,产生的错误是各种通用的。根据我所读到的,如果有 SAN,则应忽略通用名称,情况似乎就是这样。SAN 中列出的 FQDN 似乎可以正常工作,只有在 SAN 中找到的节点名才会导致此问题。此处使用的 CA 来自一家大型(多个 A 类网络)公司,拥有数千个客户端和数百台服务器。这里最流行的浏览器是 IE,我想说的是,如果我们没有发现在如此大规模的部署中存在问题,那么 Chrome 的行为就与 IE 不一样,这一点就值得担忧了。

我的问题是,用户有没有办法使用 myserver 而不会在 Chrome 中收到 SSL 警告?

错误截图。1
.http://imageshack.us/a/img259/9624/certerror.png

忽略了向 Google 提交的初始报告,上游没有提供任何帮助。2
.http://productforums.google.com/d/msg/chrome/FWAtO5uikuE/0zVo9FU9pakJ

答案1

实际上 Chrome 正在做正确的事情。证书中的所有 SAN 都应该可以通过公共 DNS 进行正向和反向解析。在证书中使用内部名称以及私有 IP 地址(例如 RfC1918)不是一个好主意。证书的概念是明确地证明一个实体的身份。由于有多个主机称为 192.168.0.1,以及多个主机名为“mail”或“unix”,因此这些主机的证书仅对网络的部分区域有效。

CA/浏览器论坛不久前,他们弃用了 SAN 证书。他们发布了具体描述此事。在客户端强制执行这一规定也很有意义,Google 似乎是第一个遵循新标准的公司。

相关内容