Я использую подписанный сертификат SSL, созданный нашим внутренним центром сертификации. Я добавил альтернативные имена субъектов, чтобы оба myserver.example.net и myserver были действительны для сайта. Это работает правильно как в Firefox, так и в IE, но в Chrome пользователи по-прежнему получают предупреждающее сообщение [1] («Идентификационные данные этого сайта не проверены.»), Когда они используют короткое имя myserver. Центр сертификации установлен, и Chrom находит его в порядке при использовании полного доменного имени. Именно при использовании имени хоста («uname -n»), являющегося частью SAN, сертификат становится непроверенным. Как указано, произведенная ошибка является универсальной. Согласно тому, что я читал, если есть SAN, общее имя следует игнорировать, и, похоже, это так. Полное доменное имя, указанное в SAN, похоже, работает, только имена узлов, найденные в SAN, вызывают эту проблему. Здесь используется CA от крупной (несколько сетей класса A) корпорации с тысячами клиентов и сотнями серверов. Преобладающим браузером здесь является IE, и я пытаюсь сказать, что если мы не видим проблемы с тем, как мы делаем что-то с этим большим развертыванием, тогда Chrome [2] не ведет себя как IE, и только это является причиной для беспокойства.
У меня вопрос: есть ли способ использовать мой сервер без предупреждения SSL в Chrome?
Скриншот ошибки.
1. http://imageshack.us/a/img259/9624/certerror.png
Игнорированный первоначальный отчет в Google, никакой помощи от апстрима.
2. http://productforums.google.com/d/msg/chrome/FWAtO5uikuE/0zVo9FU9pakJ
На самом деле Chrome что-то делает прямо здесь. Все SAN в сертификатах должны разрешаться в прямом и обратном направлении общедоступным DNS. Внутренние имена, а также частные IP-адреса (например, RfC1918) - плохая идея для сертификатов. Концепция сертификатов состоит в том, чтобы однозначно подтвердить личность объекта. Поскольку существует более одного хоста, известного как 192.168.0.1, а также более одного хоста с именем «mail» или «unix», сертификаты для этих хостов действительны только для частей сети.
В CA / Форум браузеров некоторое время назад отказался от использования сертификатов в сетях SAN. Они опубликовали бумага описывая конкретно этот вопрос. Имеет смысл обеспечить это также и на стороне клиента, Google кажется первым, кто следует новым стандартам.
