NET::ERR_CERT_REVOKED in Chrome/Chromium, eingeführt mit MacOS Catalina

tag-icon tag-icon google-chrome ssl chromium macos-catalina
NET::ERR_CERT_REVOKED in Chrome/Chromium, eingeführt mit MacOS Catalina

Ich teste ein Gerät, das nach jedem Hard-Reset ein neues selbstsigniertes Zertifikat generiert.

Unmittelbar nach der Installation von MacOS Catalina haben neuere Versionen von Chrome (und Brave) begonnen, eine NET::ERR_CERT_REVOKEDAusnahme zu werfen, obwohl definitiv keine veröffentlichte CRL für dieses Gerät vorliegt und die beim Zurücksetzen generierten Zertifikate eindeutige Seriennummern haben.

Die Fehlermeldung hat folgendes Format:

Sie können nicht besuchen[Adresse redigiert]momentan nicht verfügbar, da das Zertifikat widerrufen wurde. Netzwerkfehler und Angriffe sind normalerweise vorübergehend, daher wird diese Seite wahrscheinlich später funktionieren.

Durch Klicken auf die Schaltfläche „Erweitert“ besteht keine Möglichkeit, diesen Fehler zu beheben.

Was ist hier los? Wie kann ich das umgehen, ohne meinen Browser für den allgemeinen Gebrauch unsicher zu machen (wie es der Fall wäre, wenn ich ihm sage, alle Zertifikatsfehler wahllos zu ignorieren)?

Antwort1

Apple hat eine Reihe neuer Anforderungen an SSL-Zertifikate eingeführt, die von Catalina akzeptiert werden müssen. Diese sind dokumentiert unterhttps://support.apple.com/en-us/HT210176Um es hier zusammenzufassen:

  • Die Schlüsselgröße muss mindestens 2048 Bit betragen.
  • Der Hash-Algorithmus muss SHA-2 oder neuer sein.
  • DNS-Namen müssen in einem SubjectAltName enthalten sein, nicht nur im CN-Feld.

Darüber hinaus gilt für Zertifikate, die nach dem 01.07.2019 ausgestellt wurden:

  • Die Erweiterung ExtendedKeyUsage muss mit der OID id-kp-ServerAuth vorhanden sein.
  • Die Gültigkeitsdauer darf maximal 825 Tage betragen.

...und für Zertifikate, die nach dem 01.08.2020 ausgestellt wurden (perHT211025):

  • Die Gültigkeitsdauer darf nicht länger als 398 Tage sein

Antwort2

Eine schnelle Problemumgehung (stellen Sie sicher, dass Sie der Site vertrauen)

Geben Sie im Chrome-Browser auf der Seite Folgendes ein:

thisisunsafe

Antwort3

Wenn Sie eine Problemumgehung benötigen, um die Site zum Laufen zu bringen, ohne das Zertifikat zu ersetzen, können Sie Folgendes tun.

  1. Laden Sie das Zertifikat vom Server herunter (mit einem anderen Browser oder mit OpenSSL).
  2. Installieren Sie das Zertifikat in Keychain Access unter dem Anmeldespeicher
  3. Stellen Sie das Zertifikat nach der Installation durch einen Doppelklick auf das Zertifikat auf „Immer vertrauen“ ein.

Antwort4

Zusätzliche Informationen für Zertifikate, die nach September 2020 ausgestellt wurden:

TLS-Serverzertifikate, die am oder nach dem 1. September 2020 00:00 GMT/UTC ausgestellt wurden, dürfen keine Gültigkeitsdauer von mehr als 398 Tagen haben.

https://support.apple.com/en-us/HT211025

https://support.apple.com/en-us/HT210176

verwandte Informationen