NET::ERR_CERT_REVOKED в Chrome/Chromium, представлено в MacOS Catalina

tag-icon tag-icon google-chrome ssl chromium macos-catalina
NET::ERR_CERT_REVOKED в Chrome/Chromium, представлено в MacOS Catalina

Я тестирую устройство, которое генерирует новый самоподписанный сертификат после каждого жесткого сброса.

Сразу после установки MacOS Catalina последние версии Chrome (и Brave) начали выдавать исключение NET::ERR_CERT_REVOKED, хотя для этого устройства определенно нет опубликованного CRL, а сертификаты, сгенерированные при сбросе, имеют уникальные серийные номера.

Сообщение об ошибке имеет следующий вид:

Вы не можете посетить[адрес удален]прямо сейчас, потому что его сертификат был отозван. Сетевые ошибки и атаки обычно временные, поэтому эта страница, вероятно, заработает позже.

Нажатие кнопки «Дополнительно» не позволяет устранить эту ошибку.

Что здесь происходит? Как это обойти, не делая браузер небезопасным для общего использования (как это было бы в случае, если бы он указывал игнорировать все ошибки сертификатов без разбора)?

решение1

Apple ввела ряд новых требований к SSL-сертификатам, которые должны приниматься Catalina. Они задокументированы на сайтеhttps://support.apple.com/en-us/HT210176. Подведем итог:

  • Размер ключа должен быть не менее 2048 бит.
  • Алгоритм хеширования должен быть SHA-2 или новее.
  • DNS-имена должны быть указаны в SubjectAltName, а не только в поле CN.

Кроме того, для сертификатов, выданных после 01.07.2019:

  • Необходимо наличие расширения ExtendedKeyUsage с OID id-kp-ServerAuth.
  • Срок действия не может превышать 825 дней.

...и для сертификатов, выданных после 01.08.2020 (в соответствии сHT211025):

  • Срок действия не может превышать 398 дней.

решение2

Быстрый обходной путь (убедитесь, что вы доверяете сайту)

В браузере Chrome, находясь на странице, введите:

thisisunsafe

решение3

Если вам нужен обходной путь, позволяющий восстановить работу сайта без замены сертификата, вы можете сделать следующее.

  1. Загрузите сертификат с сервера (с помощью другого браузера или с помощью openssl)
  2. Установите сертификат в Keychain Access в хранилище учетных записей.
  3. Установите для сертификата статус «всегда доверять», дважды щелкнув по нему после установки.

решение4

Дополнительная информация для сертификатов, выданных после сентября 2020 года:

Сертификаты сервера TLS, выпущенные 1 сентября 2020 г. 00:00 GMT/UTC или позднее, не должны иметь срок действия более 398 дней.

https://support.apple.com/en-us/HT211025

https://support.apple.com/en-us/HT210176

Связанный контент