我的 StartCom 证书有CN=opencpu.org和 的替代名称*.opencpu.org以及*.ocpu.io。
但是,在最新的 Chrome 更新之后,Chrome 将 SSL 证书标记为对第一个网站有效,但对第二个网站无效。这是为什么?Chrome 不再允许在单个证书上使用多个通配符了吗?
答案1
在 Chrome 中查看问题的原因有点困难,因为查看证书按钮已隐藏在里面菜单(三个点)>更多工具...>开发者工具> 标签:安全。
在那里,你可以看到错误并不SSL_ERROR_BAD_CERT_DOMAIN像它本来应该的那样,如果在识别里面的通配符时出现问题主题备用名称/DNS 名称。 因此,Chrome 仍然支持单个证书上的多个通配符。
错误可能是SSL_ERROR_UNKNOWN_CA_ALERT因为 Google删除了对 StartCom 的支持2017 年 1 月发布的 Chrome 56 中不再提供证书,而当前稳定的主版本为 57。Mozilla 安全组相同的决定同时在 Firefox 51 中。如果您的证书之前一直在工作,那么您已经在使用已停用的浏览器版本,并且在更新中跳过了至少一个主要版本。
答案2
不要再使用 start.com 证书。它们不受当前浏览器(包括 Chrome、Firefox 和 Safari)的信任,甚至目前仍在使用的证书将来也将不受信任。
https://security.googleblog.com/2016/10/distrusting-wosign-and-startcom.html
让我们加密是一个很好的、完全免费的替代方案,尽管它们不支持通配符证书。