Новость

17-06-17

Начиная с Chrome 58, самоподписанные сертификаты без SubjectAltName больше не являются доверенными

В версии Chrome 58 сертификаты, в которых не указаны имена хостов в поле SubjectAltName, будут приводить к ошибке «Your connection is not private» («Ваше соединение не защищено»). Аналогичное изменение было принято и в Firefox 48, однако до этого пользователи не сообщали о каких-либо проблемах.

В деталях к странице ошибки имеется указание на тип ошибки - [missing_subjectAltName]. Сделано это было для того, чтобы сформировать у пользователей представление о возникшей проблеме, так как код ошибки NET::ERR_CERT_COMMON_NAME_INVALID является слишком общим и может выводиться в разных ситуациях. Предупреждение Subject Alternative Name Missing присутствует и в панели Security в инструментах разработчика.

Chrome 58 позволяет временно вернуть старое поведение браузера. Делается это с помощью политики EnableCommonNameFallbackForLocalAnchors. Она позволяет избежать повторной генерации сертификатов. Однако это решение является временным и будет удалено в последующих версиях браузера (не позднее Chrome 65). Мы настоятельно рекомендуем заново сгенерировать самоподписанные SSL-сертификаты с включением расширения Subject Alternative Name.

Также важно помнить о том, что утилита Makecert.exe, поставляемая вместе с Windows, не способна задавать поле SubjectAltName в сертификатах, а потому следует отказаться от ее использования для генерации самоподписанных сертификатов. Вместо нее лучше обратиться к современной команде SelfSignedCertificate в PowerShell.

Самоподписанные SSL-сертификаты - очень слабая (практически нулевая) защита от злоумышленников. Мы настоятельно рекомендуем перейти на коммерческие SSL-сертификаты от доверенных центров сертификации, таких как Comodo, Symantec, Thawte и т.д. Вы всегда можете заказать их в нашем магазине по демократичным ценам.