TLS-Zertifikate aktualisieren

Alles im grünen Bereich

Jeder Administrator kennt das Problem mit X.509-Zertifikaten, die im Webbrowser der Benutzer Fehlermeldungen produzieren, etwa wegen nicht als vertrauenswürdig eingestuften Zertifizierungsstellen. Benutzer des Google-Chrome-Browsers bekommen seit dem Update auf Version 58 allerdings auch für korrekt signierte Zertifikate eine Fehlermeldung angezeigt. Der Open-Source-Tipp in diesem Monat zeigt, warum das so ist und was Sie dagegen tun können.
Damit Sie als Admin stets über alle Parameter Ihrer IT Bescheid wissen, befasst sich IT-Administrator im Juni mit dem Schwerpunkt 'Monitoring'. Darin lesen Sie ... (mehr)

Ende April hat Google den Chrome-Browser in Version 58 freigegeben. Kurze Zeit später tauchten bereits die ersten Nachrichten in den einschlägigen Foren auf, die meldeten, dass Chrome auf einmal beim Zugriff auf bislang problemlos abrufbaren Webseiten die Fehlermeldung "NET::ERR_CERT_COMMON_NAME_INVALID" produziert (Bild 1). Wie üblich wurden in den Foren die skurrilsten Lösungsvorschläge unterbreitet. Wir können nur hoffen, dass keiner der Benutzer die Überprüfung von X.509-Zertifikaten komplett abgeschaltet hat, wie es teilweise empfohlen wurde.

Was ist genau passiert? Um das zu verstehen, schauen wir uns etwas genauer an, wie ein Zertifikat von einem Webbrowser überprüft wird. Der RFC 2818 [1] beschreibt im Kapitel "3.1. Server Identity" den Ablauf im Detail. Zusammengefasst steht dort, dass der Browser beim Zugriff auf eine mit HTTPS gesicherte Webseite, den in der URI verwendeten Hostnamen mit dem Namen vergleichen soll, der im Zertifikat des Server verwendet wird. Nun ist es aber so, dass der Name des Systems an mehreren Stellen im Zertifikat stehen kann. Er kann sowohl im Subject als Common Name wie auch in der Erweiterungen als Subject Alternative Name aufgeführt sein:

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023