NET::ERR_CERT_REVOKED en Chrome/Chromium, introducido con MacOS Catalina

tag-icon tag-icon google-chrome ssl chromium macos-catalina
NET::ERR_CERT_REVOKED en Chrome/Chromium, introducido con MacOS Catalina

Estoy probando un dispositivo que genera un nuevo certificado autofirmado después de cada reinicio completo.

Inmediatamente después de instalar MacOS Catalina, las versiones recientes de Chrome (y Brave) comenzaron a generar una NET::ERR_CERT_REVOKEDexcepción, aunque definitivamente no hay una CRL publicada para este dispositivo y los certificados generados al restablecer tienen números de serie únicos.

El mensaje de error tiene el siguiente formato:

no puedes visitar[dirección redactada]ahora mismo porque su certificado ha sido revocado. Los errores y ataques de red suelen ser temporales, por lo que esta página probablemente funcionará más adelante.

Hacer clic en el botón "Avanzado" no presenta ninguna forma de anular este error.

¿Que está pasando aqui? ¿Cómo puedo solucionarlo sin que mi navegador sea inseguro para un uso general (como sería el caso si le dijera que ignore todos los errores de certificado indiscriminadamente)?

Respuesta1

Apple ha introducido una serie de nuevos requisitos para que Catalina acepte los certificados SSL, documentados enhttps://support.apple.com/en-us/HT210176. Para resumir aquí:

  • El tamaño de la clave debe ser de al menos 2048 bits.
  • El algoritmo hash debe ser SHA-2 o más reciente.
  • Los nombres DNS deben estar en SubjectAltName, no solo en el campo CN.

Además, para certificados emitidos después del 01-07-2019:

  • La extensión ExtendedKeyUsage debe estar presente, con el OID id-kp-ServerAuth.
  • El período de validez no podrá ser superior a 825 días.

...y, para los certificados emitidos después del 1 de agosto de 2020 (segúnHT211025):

  • El período de validez no podrá ser superior a 398 días.

Respuesta2

Una solución rápida (asegúrese de confiar en el sitio)

En el navegador Chrome mientras estás en la página, escribe:

thisisunsafe

Respuesta3

Si necesita una solución alternativa para que el sitio funcione sin reemplazar el certificado, puede hacer lo siguiente.

  1. Descargar el certificado del servidor (usando otro navegador o con openssl)
  2. Instale el certificado en Keychain Access en el almacén de inicio de sesión
  3. Configure el certificado en "confiar siempre" haciendo doble clic en él una vez que se haya instalado.

Respuesta4

Información adicional para certificados emitidos después de septiembre de 2020:

Los certificados de servidor TLS emitidos a partir del 1 de septiembre de 2020 a las 00:00 GMT/UTC no deben tener un período de validez superior a 398 días.

https://support.apple.com/en-us/HT211025

https://support.apple.com/en-us/HT210176

información relacionada