Der Countdown läuft für die Keyfactor Tech Days | Sichern Sie sich noch heute Ihren Platz!

  • Startseite
  • Blog
  • Google Chrome Version 58: Kurz- und langfristige Korrekturen

Google Chrome Version 58: Kurz- und langfristige Korrekturen

Mit dem jüngsten Update von Google Chrome 58 kann Ihre Public Key Infrastructure (PKI) plötzlich beeinträchtigt werden. Ihre ehemals konformen HTTPS-Zertifikate funktionieren möglicherweise nicht mehr. CSS erklärt Ihnen, was sich geändert hat, warum es sich geändert hat und wie Sie feststellen können, welche Zertifikate betroffen sein könnten. Wir werden uns eine vorübergehende Umgehung von Google Chrome ansehen und die besten Sicherheitseinstellungen für die Arbeit mit SAN-Zertifikaten (Subject Alternative Name) vorstellen.

Was ist passiert?

Vor kurzem hat Google einen neuen Patch für den Browser Google Chrome Version 58 veröffentlicht. Diese neue Version hat die Verwendung des "COMMONNAME"-Wertes in einem HTTPS-Zertifikat (TLS) abgeschafft und ein SAN-Attribut als einzige Option erzwungen. Zertifikate, die das Feld "commonName" für die Konformität mit RFC 2818 (seit Mai 2000 ) verwenden, sind unter Chrome nicht mehr konform und verursachen Fehler. Wenn Sie davon betroffen sind, können Sie die Fehlermeldung "NET::ERR_CERT_COMMON_NAME_INVALID" sehen, wenn Sie Websites im lokalen Intranet oder in einer "privaten PKI" besuchen, sowie Fehler auf anderen software , die möglicherweise keine SAN-Attribute verwendet haben.

Wie kann ich feststellen, ob ich betroffen bin?

Wenn Sie nicht über ein Zertifikatsverwaltungssystem wie CMS Enterprise (Zertifikats- und PKI-Verwaltung software) verfügen, müssen Sie die Zertifikate entweder manuell im CA-Snap-in aufspüren oder Ihre Webserver/Authentifizierungsgeräteserver aufsuchen und einen Blick auf deren Zertifikate werfen. Werfen wir einen Blick auf einige Vergleichszertifikate:

chrom-2.jpg

Dies ist ein Vergleich von 2 Zertifikaten - 1 verwendet einen CommonName für HTTPS anstelle eines SANs.

Was soll ich jetzt tun?

Option 1: Kurzfristiger Rollback für Chrome-Standardeinstellungen:

Mit der störenden Änderung von Google gibt es glücklicherweise eine Option, die Unterstützung zurückzunehmen und administrative Vorlagen zu verwenden, um diese auf breiterer Ebene in Unternehmen zu verbreiten. Unter Verwendung der bereitgestellten Informationen gibt es eine vorübergehende Unterstützung für Linux, MAC, Windows, Google OS und Android.

Google bietet auch Richtlinienvorlagen an, um die Einrichtung für Domänenadministratoren und GPO-Administratoren zu erleichtern.

Option 2: Langfristige Übernahme neuer SAN-Attribute und bewährter Verfahren:

Der erste Schritt zur Unterstützung von SAN-Attributen besteht darin, die Zertifikate in der Umgebung zu identifizieren, die die Konnektivität mit Chrome beeinträchtigen können. Als Nächstes beginnen Sie mit der Beseitigung der Zertifikate, die keine SAN-Attribute enthalten. Was ist, wenn Sie in der Umgebung überhaupt keine SAN-Attribute verwendet haben? Wenn dies nun in der Umgebung erforderlich ist, wie lauten die bewährten Verfahren für SAN-Attribute? Microsoft hat hierzu einige Informationen veröffentlicht. Darüber hinaus gibt es versteckte Gefahren bei der Verwendung von SANs, die in einem Blog von einem unserer wichtigsten PKI-Berater bei CSS ausführlich beschrieben werden.

Benötigen Sie weitere Informationen oder haben Sie zusätzliche Fragen?