Avec la récente mise à jour de Google pour la version 58 de Chrome, votre infrastructure à clé publique (PKI ) peut soudainement être affectée. Vos certificats HTTPS précédemment conformes peuvent ne plus fonctionner. CSS est là pour expliquer ce qui a changé, pourquoi cela a changé et comment identifier les certificats qui peuvent être impactés. Nous examinerons une solution de contournement temporaire de Google Chrome et les paramètres de sécurité de meilleure pratique à adopter lorsque vous travaillez avec des certificats SAN (Subject Alternative Name).
Que s'est-il passé ?
Google a récemment publié un nouveau correctif pour le navigateur Google Chrome version 58. Cette nouvelle version a déprécié l'utilisation de la valeur "COMMONNAME" dans un certificat pour HTTPS (TLS), forçant un attribut SAN comme seule option. Les certificats utilisant le champ "commonName" pour la conformité RFC 2818 (depuis mai 2000 ) ne seront plus conformes sur Chrome, ce qui provoquera des erreurs. Si vous êtes concerné, vous risquez de voir apparaître une erreur "NET::ERR_CERT_COMMON_NAME_INVALID" lorsque vous visitez des sites sur l'intranet local ou "private PKI", ainsi que des erreurs sur d'autres sites software qui n'utilisent peut-être pas d'attributs SAN.
Comment savoir si je suis concerné ?
Si vous ne disposez pas d'un système de gestion des certificats, tel que CMS Enterprise (gestion des certificats et de PKI software ), vous devrez rechercher manuellement les certificats soit dans le snap-in de l'autorité de certification, soit sur vos serveurs web/serveurs de dispositifs d'authentification et jeter un coup d'œil à leurs certificats. Examinons quelques certificats de comparaison :
Il s'agit d'une comparaison de deux certificats, dont l'un utilise un nom commun pour HTTPS au lieu d'un SAN.
Que dois-je faire maintenant ?
Option 1 : retour en arrière à court terme pour les défauts de Chrome :
Avec le changement perturbateur de Google, il existe heureusement une option permettant de revenir en arrière et d'utiliser des modèles administratifs pour diffuser cette solution à un plus grand nombre d'organisations. En utilisant les informations fournies, il existe un support temporaire pour Linux, MAC, Windows, Google OS et Android.
Google propose également des modèles de règles qui facilitent la mise en place pour les administrateurs de domaine et les administrateurs GPO.
Option 2 : adoption à long terme de nouveaux attributs et de meilleures pratiques en matière de SAN :
La première étape de la prise en charge des attributs SAN consiste à identifier les certificats de l'environnement susceptibles d'avoir un impact sur la connectivité avec Chrome. Ensuite, il faut commencer à remédier aux certificats qui ne contiennent pas d'attributs SAN. Que se passe-t-il si vous n'avez jamais utilisé d'attributs SAN dans votre environnement ? Si cela est désormais nécessaire dans l'environnement, quelles sont les meilleures pratiques en matière d'attributs SAN ? Microsoft a publié des informations à ce sujet. En outre, il existe des dangers cachés liés à l'utilisation des SAN, qui sont détaillés dans un blog par l'un de nos principaux consultants PKI chez CSS.
Vous avez besoin de plus d'informations ou vous avez des questions supplémentaires ?
