Chrome 58 přestává kontrolovat Common name certifikátu

5. 5. 2017 | Jindřich Zechmeister

Google Chrome ve verzi 58 zcela přestává kontrolovat Common name použitého SSL certifikátu. Co to znamená se dočtete v našem článku. Zákazníci SSLmarketu (a velkých CA) se však vůbec nemusí znepokojovat - je to jen důsledek mnohaleté snahy používat v certifikátech pouze DNS názvy.>

Co se v Chrome 58 mění?

V nové verzi 58 Chrome mění způsob kontroly domén uvedených v SSL/TLS certifikátu. Prohlížeč po zadání adresy domény zabezpečené SSL certifikátem provede tzv. handshake, během kterého si ze serveru stáhne certifikát s veřejným klíčem a "domluví" si detaily zabezpečené komunikace. Během připojování na zabezpečený server prohlížeč kontroluje, pro jakou doménu je certifikát vystaven; samozřejmě musí souhlasit, jinak zobrazí bezpečnostní varování.

Chrome už nyní nebude kontrolovat Common name certifikátu (tedy "hlavní doménu"), ale pouze hodnoty v poli alternativní název subjektu certifikátu (subjectAltName). V něm jsou uvedeny všechny DNS názvy, pro které certifikát platí. Pokud je na doméně certifikát vystavený pro doménu jinou, nebo ji neobsahuje, tak připojování skončí chybou a uživatel bude upozorněn a vyzván k opuštění webu.

K této změně se pojí jedna zajímavost - snaha opustit kontrolu Common name certifikátu sahá neuvěřitelných 17 let nazpět! Záměr opustit Common name najdeme v RFC 2818 z května 2000 s názvem HTTP Over TLS, což je (skutečně) standard definující HTTPS protokol. Opravdová novinka to tedy ve skutečnosti není, ale některé administrátory a firmy dozajista pozlobí.

Zákazníků SSLmarketu se změna netýká, zkontrolujte si ale self-signed certifikáty

Zákazníci SSLmarketu se mohou spolehnout na to, že se jich tato změna nedotkne. Všechny certifikáty vystavené CA Symantec, Thawte, GeoTrust a RapidSSL obsahují Common name i jako DNS název a jsou s Chromem naprosto kompatibilní.

Common name je do seznamu DNS názvů (subjectAltNamepřídáván automaticky (Baseline requirements CAB fóra to autoritám ukládají praktikovat od roku 2012) a certifikační autority rodiny Symantec přidávají pro domény 2. řádu a domény 3. řádu s WWW i druhý tvar zdarma, čímž umožňují jeho majiteli použití na obou tvarech domén (s WWW i bez). Do většiny certifikátů lze za příplatek přidat i další názvy. DNS názvům, které lze doplnit do certifikátu a rozšířit jeho platnost, se říká také SAN a certifikátům rozšíření umožňující pak SAN certifikáty (Microsoft jim říká UCC).

Problémem jsou však certifikáty vydané pro interní účely - například selfsigned certifikáty serverů, služeb, firemních intranetů. Změna může zasáhnout i servery platformy Microsoft, protože utilita Makecert.exe (kterou můžete tvořit self-signed certifikáty) SANy nepodporuje.

Je lhostejné, zdali je postižený certifikát používán kvůli nemožnosti získání certifikátu důvěryhodného (interní domény jako .local) nebo si jen administrátor ušetřil práci. Pokud certifikát neobsahuje Common name jako DNS název v poli "alternativní název subjektu certifikátu", bude nutné ho udělat znovu a jako SAN ho přidat. Nebo - v lepším případě - zabezpečit doménu důvěryhodným certifikátem z nabídky SSLmarket. Zákazníci CZECHIA.COM si mohou pro doménu registrovanou u ZONERu vystavit bezplatný certifikát Basic DV.

Novinku je možné dočasně obejít

Pokud ve vaší infrastruktuře znamená zmíněná novinka Chrome problém, tak ji můžete dočasně vypnout. Ve Windows registrech najděte větev HKEY_LOCAL_MACHINESoftwarePoliciesGoogleChrome a v ní vytvořte hodnotu REG_DWORD pojmenovanou EnableCommonNameFallbackForLocalAnchors a s hodnotou 1.

Tato možnost je však dostupná pouze do verze 65, kdy ji Google z Chrome odstraní. Měli byste ji tak používat pouze v kritických případech a dočasně.


Ing. Jindřich Zechmeister
Specialista pro bezpečnostní SSL certifikáty
DigiCert TLS/SSL Professional
e-mail: jindrich.zechmeister(at)zoner.cz