Chrome richiede nomi SAN nel certificato. Quando seguiranno altri browser (IE)? [chiuso]

3

Chrome richiede certificati SSL per elencare i nomi dei siti nel soggetto nome alternativo (SAN) per essere considerati attendibili. L'utilizzo del solo nome comune non è considerato sufficientemente sicuro e determinerà un errore di convalida del certificato in Chrome.

Siamo nel processo di aggiornamento dei nostri certificati, ma dobbiamo conoscere l'urgenza. Non supportiamo Chrome per molti siti aziendali / interni (ancora).

È noto quando / come gli altri browser implementeranno questa restrizione di sicurezza? IE / Edge / Firefox / Safari seguiranno questo miglioramento?

    
posta oɔɯǝɹ 01.11.2017 - 11:34
fonte

1 risposta

4

IE probabilmente mai

IE è un prodotto morto, probabilmente continuerà a fare ciò che sta facendo attualmente, a meno che non ci sia qualche problema di sicurezza importante che obbliga Microsoft a rilasciare uno speciale aggiornamento per la sicurezza per disabilitare la convalida CN.

Firefox già lì

Firefox già non riconosce più CN per i nuovi certificati firmati da PKI pubblici , (la scadenza era qualsiasi cosa emessa il / dopo il 2016-08-23 ), ma permetti comunque di fallback a CN per non- costruito in CA. Poiché Firefox è un prodotto open source, per articoli come questi, la rimozione del supporto CN richiederà probabilmente un volontario che in realtà vada avanti a fornire una patch per implementare la rimozione e tale patch probabilmente verrà unita solo se il mantenimento di un supporto CN sta impedendo un po ' altri importanti miglioramenti a Firefox o all'infrastruttura web / PKI nel suo complesso. In realtà non ha molta fretta per questa rimozione , in quanto non sembra impedire a nessuno di tenerlo in giro cosa devono fare al momento e l'attuale soluzione di differenziazione del certificato integrato e importato sembra soddisfare gli utenti di Firefox per il momento.

Bordo / Safari: sconosciuto

Edge e Safari sono prodotti di Microsoft e Apple, il mantenimento o la rimozione del supporto dipenderà probabilmente dalle rispettive influenze commerciali.

Ulteriore lettura / rilevamento: ChromeStatus

Finora, secondo ChromeStatus: Supporto per la corrispondenza commonName nei certificati , non esiste Sembra che ci sia una comunicazione pubblica da Microsoft e Apple per questo argomento.

    
risposta data 01.11.2017 - 15:03
fonte

Leggi altre domande sui tag