browser

Geändertes Browser Verhalten

Written by  on Oktober 28, 2016

Seit Oktober scheint sich das Verhalten von Webbrowsern beim Parsen von SSL/TLS Zertifikaten geändert zu haben. Bei Mozilla Firefox habe ich mir auch die entsprechenden Changes herausgesucht
Bug 585616 – No longer allow IP addresses in SSL server’s common names
Bug 1245280 – don’t fall back to subject common name for name information for new certificates
Kurz gesagt kommt das auf folgendes raus: Wenn es einen Subject Alternativ Name (SAN) gibt, ignoriere den Common Name (CN). Und zusätzlich: Verbiete IP Adressen als CN.
Wenn es bisher ein Zertifikat gab, dass CN=1.2.3.4 hatte und zusätzlich DNS=1.2.3.4 wurde der DNS ignoriert (eine IP Adresse ist kein DNS Name) es gab einen Fallback auf den CN und alle waren glücklich.
Seit Oktober ist es für neue Zertifikate so, dass wie gehabt der DNS Eintrag im SAN ignoriert wird, ein Fallback auf den CN stattfindet, aber die IP Adresse dort auch nicht mehr als Gültig gewertet wird. Das führt dann zu Fehlermeldungen wie: „Das Zertifikat ist nur gültig für 1.2.3.4, Du bist aber auf Seite 1.2.3.4 und das passt nicht zusammen, daher schmeiße ich Dir einen Zertifikatsfehler um die Ohren.“
Bei Mozilla heißt es dazu:

As of the Effective Date of these Requirements, prior to the issuance of a Certificate with a subjectAlternativeName (SAN) extension or Subject Common Name field containing a Reserved IP Address or Internal Server Name, the CA shall notify the Applicant that the use of such Certificates has been deprecated by the CA / Browser Forum and that the practice will be eliminated by October 2016. Also as of the Effective Date, the CA shall not issue a certificate with an Expiry Date later than 1 November 2015 with a SAN or Subject Common Name field containing a Reserved IP Address or Internal Server Name. As from 1 October 2016, CAs shall revoke all unexpired Certificates.


Wie macht man das jetzt richtig? Im SAN muss für eine IP Adresse das Primitive „IP“ verwendet werden und nicht „DNS“, dann klappt auch die Validierung wieder!

Firefox Autocompletion

Written by  on August 18, 2013

Read more…

Browserauswahl

Written by  on Juli 21, 2013

Read more…

Speicherverbrauch im Firefox

Written by  on Mai 2, 2011

Read more…

DNS Cache im Webbrowser

Written by  on März 6, 2011

Read more…

Rettet den Internet Explorer

Written by  on Februar 8, 2010

Read more…

Javaprobleme in Opera gelöst

Written by  on Mai 3, 2007

Read more…

Internet Explorer unter Linux

Written by  on April 15, 2007

Read more…