无法使用* .test域的本地HTTPS证书

Question

我通过使用通配符证书度过了美好的一天......

现在，它无法使用.dev进行本地开发，所以我们使用* .test。我需要测试HTTPS，所以我创建了通配符证书。

自Chrome v58以来，＆＃34; commonName＆＃34;被忽略，用户应使用SAN来指定域名（有关此主题的更多信息，请访问：https://www.thesslstore.com/blog/security-changes-in-chrome-58/）。

无论如何：在我的系统（mac os / Docker / Chrome）上有通配符的问题 - 如果我在证书中指定整个域，它可以工作（比如something.test） - 但是当我使用通配符时，Chrome仍然会生成此错误消息：NET :: ERR_CERT_COMMON_NAME_INVALID

我几乎尝试了一切，但没有运气:(

更多信息：

• http://grokify.github.io/security/wildcard-subject-alternative-name-ssl-tls-certificates/
• https://www.openssl.org/docs/man1.0.2/apps/x509v3_config.html#Subject-Alternative-Name
• https://medium.com/carwow-product-engineering/chrome-58-and-self-signed-ssl-certificate-c28a874d80fa
• https://github.com/webpack/webpack-dev-server/issues/854

我的bash脚本：

openssl req \
-x509 \
-nodes \
-new \
-newkey rsa:2048 \
-keyout test.key \
-out test.crt \
-sha256 \
-days 3650 \
-config <(cat <<EOF

[ req ]
prompt = no
distinguished_name = subject
x509_extensions    = x509_ext

[ subject ]
commonName = *.test

[ x509_ext ]
subjectAltName = @alternate_names

[ alternate_names ]
DNS.1 = *.test
DNS.2 = test

EOF
)

Answer 1

[ alternate_names ]
DNS.1 = *.test
DNS.2 = test

您可以将 *.test 用于个人用途。另请参阅RFC 6761, Special-Use Domain Names。 RFC 6761非常具体，用户软件应 NOT 以不同于任何其他域名的方式处理 *.test ，因此不要指望浏览器或其他用户代理做 *.test 特别之处。问题出在其他地方。

使用广泛的画笔绘画，有两个组织发布运行公共PKI的标准。第一个是CA /浏览器论坛，发布策略后面是浏览器。第二个是IETF，其发布策略后面是其他用户代理，如cURL，OpenSSL和Wget。

从浏览器的角度来看， *.test 似乎是Brand Top Level Domains（即虚荣域，如 *.google ） 。 CA / B Baseline Requirements不允许使用顶级外卡。

相比之下，IETF并不禁止通配顶级域名，例如 *.com ， *.net 或 {{1} } 的。像cURL和Wget这样的用户代理可能会允许通配符 *.test 。

这是来自CA / B Baseline Requirements document。它自2013年起生效：

  

授权域名 ：

     

用于获取证书颁发授权的域名   对于给定的FQDN。 CA可以使用从DNS CNAME返回的FQDN   为域验证的目的查找FQDN。如果是FQDN   包含通配符，然后CA必须删除所有通配符   来自请求的FQDN最左边部分的标签。 CA可能会修剪   从左到右的零个或多个标签，直到遇到Base   域名并可以使用任何一个中间值   域验证的目的。

  

如果我在证书中指定整个域，它就可以工作（如*.test）

如果您希望浏览器使用该证书，则必须使用something.test或something.test。

或者，使用其他用户代理，例如cURL或Wget。

  

但是当我使用通配符时，Chrome仍然会生成以下错误消息：NET :: ERR_CERT_COMMON_NAME_INVALID

和

*.something.test

该名称无效，因为您通配了顶级域名，而用户代理遵循CA / B颁发政策。

此外，多年来一直弃用 [ subject ] commonName = *.test 中的主机名。在过去的几年里，没有被禁止。我了解CA / B基准要求将很快被禁止。 IETF stll允许它。这来自CA / B Baseline Requirements document：

  

证书字段 ：subject：commonName（OID 2.5.4.3）
   必填/可选 ：已弃用（不鼓励，但未禁止）
   目录 ：如果存在，此字段必须包含单个IP地址或完全限定域名，这是其中一个值   包含在证书的subjectAltName扩展名中（参见   Section7.1.4.2.1）。

缺点是，不要将主机名放在 CommonName 中。在那里放一个友好的名字，比如 Example Widgets，LLC 。将主机名和其他名称放在 CommonName 。

中

我知道完全省略 SubjectAltName 的证书。例如，请参阅Crypto++ website。 Crypto ++网站试图将通用名称设置为“Crypto ++”，因为它是一个友好的名称，但发行人担心“+”符号会偶尔破坏脚本。所以这个领域完全被省略了。

  

现在，使用.dev进行本地开发是不可能的......

这是一种病态的有趣方式。我有兴趣了解为什么它不可能，因为它似乎是开发网络段的一个很好的选择。

为了完整起见，我的家庭网络是 CommonName 。我有一个CA，在需要时颁发证书。我从来没有遇到任何麻烦。

  

无论如何：在我的系统（mac os / Docker / Chrome）上，通配符存在问题

有趣的是Docker遇到了麻烦。我希望Docker遵循IETF发布政策并允许它。我不知道他们正在遵循CA / B发布政策并拒绝它。

Docker可能正在使用强化安装运行并拒绝它。 TimRühsen有一个提供libpsl的GitHub。我相信libpsl会拒绝顶级域名中的通配符。