Con la reciente actualización de la versión 58 de Chrome de Google, su infraestructura de clave pública (PKI) puede verse afectada repentinamente. Es posible que sus certificados HTTPS ya no funcionen. CSS está aquí para explicar qué ha cambiado, por qué ha cambiado y cómo identificar qué certificados pueden verse afectados. Veremos una solución temporal de Google Chrome y las mejores prácticas de seguridad a adoptar cuando se trabaja con certificados SAN (Subject Alternative Name).
¿Qué ha pasado?
Recientemente Google ha publicado un nuevo parche para la versión 58 del navegador Google Chrome. Esta nueva versión ha depreciado el uso del valor "COMMONNAME" en un certificado para HTTPS (TLS) forzando un atributo SAN como única opción. Los certificados que utilizan el campo commonName para el cumplimiento de la norma RFC 2818 (desde mayo de 2000 ) ya no serán compatibles con Chrome, lo que provocará errores. Si se ve afectado, puede ver un error de "NET::ERR_CERT_COMMON_NAME_INVALID" al visitar sitios en la intranet local o "PKI privada" y errores en otros software que pueden no haber estado utilizando atributos SANs.
¿Cómo sé si estoy afectado?
Si no dispone de un sistema de gestión de certificados, como CMS Enterprise (gestión de certificados y PKI software), tendrá que buscar manualmente los certificados en el complemento de CA o ir a sus servidores web/servidores de dispositivos de autenticación y echar un vistazo a sus certificados. Veamos algunos certificados de comparación:
Esta es una comparación de 2 certificados - 1 utilizando un CommonName para HTTPS en lugar de un SANs.
¿Qué hago ahora?
Opción 1: Retroceso a corto plazo de los valores predeterminados de Chrome:
Con el cambio disruptivo de Google, afortunadamente hay una opción para hacer retroceder el soporte y hacer uso de plantillas administrativas para llevar esto a las organizaciones a un nivel más amplio. Utilizando la información proporcionada, hay soporte temporal para Linux, MAC, Windows, Google OS y Android.
Google también dispone de plantillas de políticas para facilitar la configuración a los administradores de dominios y de GPO.
Opción 2: Adopción a largo plazo de nuevos atributos y mejores prácticas de las RAS:
El primer paso para admitir los atributos SAN es identificar los certificados del entorno que pueden afectar a la conectividad con Chrome. A continuación, empiece a corregir los certificados que no contengan atributos SAN. ¿Qué ocurre si no se han utilizado atributos SAN en el entorno en absoluto? Si ahora es necesario en el entorno, ¿cuáles son las mejores prácticas en torno a los atributos SAN? Microsoft ha publicado información al respecto. Además, existen peligros ocultos al utilizar SAN, que se detallan en un blog de uno de nuestros principales consultores de PKI en CSS.
¿Necesita más información o tiene más preguntas?