NET::ERR_CERT_REVOKED no Chrome/Chromium, introduzido com MacOS Catalina

tag-icon tag-icon google-chrome ssl chromium macos-catalina
NET::ERR_CERT_REVOKED no Chrome/Chromium, introduzido com MacOS Catalina

Estou testando um dispositivo que gera um novo certificado autoassinado após cada reinicialização forçada.

Imediatamente após a instalação do MacOS Catalina, versões recentes do Chrome (e do Brave) começaram a lançar uma NET::ERR_CERT_REVOKEDexceção, embora definitivamente não haja nenhuma CRL publicada para este dispositivo e os certificados gerados na redefinição tenham números de série exclusivos.

A mensagem de erro tem o seguinte formato:

Você não pode visitar[endereço editado]agora porque seu certificado foi revogado. Erros e ataques de rede geralmente são temporários, portanto esta página provavelmente funcionará mais tarde.

Clicar no botão "Avançado" não apresenta nenhuma maneira de substituir esse erro.

O que está acontecendo aqui? Como posso contornar isso, sem tornar meu navegador inseguro para uso geral (como seria o caso, dizendo-lhe para ignorar todos os erros de certificado indiscriminadamente)?

Responder1

A Apple introduziu uma série de novos requisitos para que certificados SSL sejam aceitos pela Catalina, documentados emhttps://support.apple.com/en-us/HT210176. Para resumir aqui:

  • O tamanho da chave deve ser de pelo menos 2.048 bits.
  • O algoritmo hash deve ser SHA-2 ou mais recente.
  • Os nomes DNS devem estar em SubjectAltName e não apenas no campo CN.

Além disso, para certificados emitidos após 01/07/2019:

  • A extensão ExtendedKeyUsage deve estar presente, com o ID-kp-ServerAuth OID.
  • O período de validade não pode ser superior a 825 dias.

...e, para certificados emitidos após 01/08/2020 (porHT211025):

  • O período de validade não pode ser superior a 398 dias

Responder2

Uma solução rápida (certifique-se de confiar no site)

No navegador Chrome enquanto estiver na página, digite:

thisisunsafe

Responder3

Se precisar de uma solução alternativa para fazer o site funcionar sem substituir o certificado, você pode fazer o seguinte.

  1. Baixe o certificado do servidor (usando outro navegador ou com openssl)
  2. Instale o certificado no Keychain Access no armazenamento de login
  3. Defina o certificado como “sempre confiável” clicando duas vezes nele depois de instalado.

Responder4

Informações adicionais para certificados emitidos após setembro de 2020:

Os certificados de servidor TLS emitidos a partir de 1º de setembro de 2020 às 00:00 GMT/UTC não devem ter um período de validade superior a 398 dias

https://support.apple.com/en-us/HT211025

https://support.apple.com/en-us/HT210176

informação relacionada