Ssl-Certificate

Chrome 將 StartCom 證書標記為對萬用字元部分無效

  • April 10, 2017

我的 StartCom 證書有CN=opencpu.org和 alt 名稱*.opencpu.org以及*.ocpu.io.

然而,在最新的 chrome 更新之後,Chrome 將 SSL 證書標記為對第一個站點有效,但對第二個站點無效。為什麼是這樣?Chrome 是否不再允許在單個證書上使用多個萬用字元?

在 Chrome 中查看導致問題的原因有點棘手,因為View certificate按鈕已隱藏在Menu (三個點) > More tools… > Developer tools > Tab: Security中。

SSL_ERROR_BAD_CERT_DOMAIN在那裡,如果在辨識Subject Alternative Name / DNS Name中的萬用字元時出現問題,您可能已經看到錯誤不是本來的樣子。因此,Chrome 仍然支持單個 cert 上的多個萬用字元

該錯誤可能是SSL_ERROR_UNKNOWN_CA_ALERT因為Google在 2017 年 1 月發布的 Chrome 56 中刪除了對 StartCom證書的支持,而目前穩定的主版本是 57。Mozilla 安全組在 Firefox 51 中同時做出了同樣的決定。如果你的證書更早工作,您已經在使用已停產的瀏覽器版本,並且在更新中至少跳過了一個主要版本。

引用自:https://serverfault.com/questions/843398