我正在測試一個設備,該設備在每次硬重置後都會生成新的自簽名證書。
安裝 MacOS Catalina 後,最新版本的 Chrome(和 Brave)立即開始拋出異常NET::ERR_CERT_REVOKED,儘管該設備絕對沒有已發布的 CRL,並且重置時生成的證書具有唯一的序號。
錯誤訊息具有以下形式:
您無法訪問[地址已編輯]現在因為它的憑證已被撤銷。網路錯誤和攻擊通常是暫時的,因此此頁面可能稍後會起作用。
點擊“進階”按鈕不會提供任何方法來覆蓋此錯誤。
這裡發生了什麼事?我怎麼能解決這個問題,而不會使我的瀏覽器對於通用用途不安全(就像告訴它不加區別地忽略所有憑證錯誤的情況一樣)?
答案1
Apple 引入了一系列 Catalina 接受 SSL 憑證的新要求,記錄於https://support.apple.com/en-us/HT210176。這裡總結一下:
- 密鑰大小必須至少為 2048 位元。
- 哈希演算法必須是 SHA-2 或更新版本。
- DNS 名稱必須位於SubjectAltName 中,而不僅位於CN 欄位中。
此外,對於2019年7月1日之後頒發的證書:
- ExtendedKeyUsage 擴充功能必須存在,並附有 id-kp-ServerAuth OID。
- 有效期限不得超過825天。
……並且, 2020 年 8 月 1 日之後頒發的證書(根據HT211025):
- 有效期限不得超過398天
答案2
快速解決方法(確保您信任該網站)
在頁面上的 Chrome 瀏覽器中,鍵入:
thisisunsafe
答案3
如果您需要一種解決方法來使網站正常運作而不取代證書,您可以執行以下操作。
- 從伺服器下載憑證(使用其他瀏覽器或使用 openssl)
- 將憑證安裝到登入儲存下的 Keychain Access 中
- 安裝後雙擊證書將其設定為“始終信任”。
答案4
2020 年 9 月之後頒發的證書的附加資訊:
2020 年 9 月 1 日 00:00 GMT/UTC 或之後頒發的 TLS 伺服器憑證的有效期限不得超過 398 天