ハードリセットのたびに新しい自己署名証明書を生成するデバイスをテストしています。
MacOS Catalina をインストールした直後から、NET::ERR_CERT_REVOKEDこのデバイス用の CRL が公開されておらず、リセット時に生成された証明書に固有のシリアル番号があるにもかかわらず、Chrome (および Brave) の最新バージョンで例外がスローされるようになりました。
エラー メッセージの形式は次のとおりです。
訪問できません[住所は編集済み]証明書が失効したため、現在は利用できません。ネットワーク エラーや攻撃は通常一時的なものなので、このページは後で利用できるようになる可能性があります。
「詳細」ボタンをクリックしても、このエラーを無効にする方法はありません。
何が起こっているのでしょうか? ブラウザを一般的な用途で使用できない状態にすることなく (すべての証明書エラーを無差別に無視するように指示した場合のように)、これを回避するにはどうすればよいですか?
答え1
Appleは、Catalinaで受け入れられるSSL証明書に関する一連の新しい要件を導入しました。https://support.apple.com/ja-jp/HT210176 より要約すると次のようになります。
- キーのサイズは少なくとも 2048 ビットである必要があります。
- ハッシュ アルゴリズムは SHA-2 以降である必要があります。
- DNS 名は CN フィールドのみではなく、SubjectAltName に含まれている必要があります。
さらに、2019 年 7 月 1 日以降に発行された証明書の場合:
- ExtendedKeyUsage 拡張機能が、id-kp-ServerAuth OID とともに存在している必要があります。
- 有効期間は 825 日を超えることはできません。
...そして、2020年8月1日以降に発行された証明書については(HT211025):
- 有効期間は398日を超えてはなりません
答え2
簡単な回避策(サイトが信頼できることを確認してください)
Chrome ブラウザでページを開き、次のように入力します。
thisisunsafe
答え3
証明書を置き換えずにサイトを動作させるための回避策が必要な場合は、次の操作を実行できます。
- サーバーから証明書をダウンロードします(別のブラウザまたは openssl を使用)
- ログインストアのキーチェーンアクセスに証明書をインストールします
- インストールしたら、証明書をダブルクリックして「常に信頼する」に設定します。
答え4
2020年9月以降に発行された証明書に関する追加情報:
2020年9月1日00:00 GMT/UTC以降に発行されたTLSサーバー証明書の有効期間は398日を超えてはなりません。