Ho la seguente "catena" di certificati su una macchina di prova in questo momento:
- Un certificato CA autofirmato, nel mio portachiavi e attendibile & fidato da Firefox.
-
Un certificato CA con il seguente,
X509v3 Name Constraints: critical Permitted: DNS:mydomain.net DNS:.mydomain.net
-
Un certificato non CA con firma di cui sopra.
Il server web di test serve gli ultimi due certificati; il primo è contrassegnato come "trusted" in Keychain in OS X, in Firefox stesso e sul mio lato Linux, anche in FF e in certutil
.
Su OS X, Firefox accetta la connessione come sicura; Chrome e Safari no. Sembra che Chrome & Safari utilizza solo ciò che il sistema operativo utilizza per scopi crittografici, quindi qui, OS X è il problema. Visualizzazione del certificato mostra:
"This certificate cannot be used (unrecognized critical extension)"
Extension: Name Constraints (2.5.29.30)
Critical: YES
Data: <a sequence of octets>
Sto indovinando perché vedo una sequenza di ottetti e non una bella vista decodificata (come faccio con altre estensioni), che questa è l'estensione che causa l'errore.
Non riesco a farlo funzionare su Linux sotto Chrome (di nuovo funziona bene in FF); tuttavia, non sembra in grado di trovare il certificato radice (mentre su OS X può farlo); Penso che questo sia perché non capisco come accettare il mio certificato autofirmato. (Internet dice certutil
, e ho provato praticamente tutte le combinazioni inutili.)