NET :: ERR_CERT_REVOKED(Chrome / Chromium)、MacOS Catalinaで導入
ハードリセットのたびに新しい自己署名証明書を生成するデバイスをテストしています。
MacOS Catalinaをインストールした直後、Chrome(およびBrave)の最近のバージョンは、このデバイスの公開されたCRLがなく、証明書が生成されているにもかかわらず、NET::ERR_CERT_REVOKED例外をスローし始めましたリセット時に一意のシリアル番号を持っています。
エラーメッセージの形式は次のとおりです。
証明書が取り消されているため、現在[address redacted]にアクセスできません。ネットワークエラーと攻撃は通常一時的なものであるため、このページはおそらく後で機能します。
「詳細」ボタンをクリックしても、このエラーを無効にする方法はありません。
何が起きてる?私のブラウザーを汎用的な使用に対して安全でなくすることなく、どうすればそれを回避できますか(すべての証明書エラーを無差別に無視するように指示する場合のように)?
https://support.Apple.com/en-us/HT210176 に記載されているように、Appleは、SSL証明書がCatalinaによって受け入れられるための一連の新しい要件を導入しました。ここで要約すると:
- 鍵のサイズは少なくとも2048ビットでなければなりません。
- ハッシュアルゴリズムはSHA-2以降である必要があります。
- DNS名は、CNフィールドのみではなく、SubjectAltNameに含まれている必要があります。
さらに、2019-07-01以降に発行された証明書の場合:
- ExtendedKeyUsage拡張が存在し、id-kp-ServerAuth OIDが必要です。
- 有効期間は825日を超えることはできません。
簡単な回避策(サイトが信頼できることを確認してください)
chromeブラウザでページを表示しているときに、次のように入力します。
thisisunsafe
証明書を置き換えずにサイトを機能させるための回避策が必要な場合は、以下を実行できます。
- サーバーから証明書をダウンロードします(別のブラウザーを使用するか、opensslを使用)
- ログインストアの下のキーチェーンアクセスに証明書をインストールします
- インストールしたら、証明書をダブルクリックして「常に信頼する」に設定します。
カタリナには、証明書の署名に関するいくつかの新しい要件があるようです。 Charlesはおそらく証明書の世代を更新する必要があります。