Chrome отмечает недопустимый сертификат StartCom для части с подстановочными знаками
В моем сертификате StartCom есть CN = opencpu.org и альтернативные имена для * .opencpu.org , а также *. ocpu.io .
Однако после последнего обновления Chrome Chrome помечает сертификат SSL как действительный для первого сайта, но не для второго. Почему это? Chrome больше не поддерживает использование нескольких подстановочных знаков в одном сертификате?
Сложно увидеть в Chrome, что является причиной проблемы, поскольку кнопка Просмотреть сертификат была скрыта внутри Меню (три точки) > Дополнительные инструменты ... > Инструменты разработчика > Вкладка: Безопасность .
Здесь вы могли увидеть, что ошибка не была SSL_ERROR_BAD_CERT_DOMAIN , как это было бы, если бы там возникла проблема с распознаванием подстановочного знака внутри Альтернативное имя субъекта / DNS-имя . В результате Chrome по-прежнему поддерживает несколько подстановочных знаков в одном сертификате .
Вероятно, ошибка была SSL_ERROR_UNKNOWN_CA_ALERT , поскольку Google удалил поддержку сертификатов StartCom в Chrome 56 выпущен в январе 2017 года, в то время как текущая стабильная основная версия - 57. Группа безопасности Mozilla приняла такое же решение в то же время в Firefox 51. Если ваш сертификат работал раньше, вы уже использовали прекращенная версия вашего браузера и пропущена хотя бы одна основная версия в ваших обновлениях.
Больше не используйте сертификаты start.com. Им не доверяют текущие браузеры, включая Chrome, Firefox и Safari, и даже все еще работающие сертификаты в будущем не будут иметь доверия.
https://security.googleblog.com/2016/10/distrusting-wosign-and-startcom.html
Let's encrypt - хорошая, полностью бесплатная альтернатива, хотя они не поддерживают сертификаты с подстановочными знаками. .