Поле Common Name, находящееся в списке обязательных у x.509v3-сертификата, по сути уже более 15 лет как мало используется. Причина проста – есть поле Subject Alternative Name, позволяющее задать несколько имён субъекта, и именно в него записываются фактически анализируемые строки.
Но Common Name никто не отменял и оно продолжает анализироваться, чем вызывается пачка различных рекомендаций вида “главное имя надо выделить и записать туда”.
Вышедший на днях 58й Google Chrome ставит точку в этой ситуации – он не читает это поле вообще. То, что выход из неоднозначной ситуации с дублирующимися по смыслу полями будет таким – предсказывалось уже некоторое время назад, равно как и были обсуждения о проблемах безопасности, связанных с использованием Common Name.
Попасть в ситуацию, что ваш сертификат будет иметь только Common Name, не продублированный в SAN – нереально – ну, разве что если это ваша внутренняя PKI с проблемами на уровне конфигурирования.
Как выглядит ошибка?
Google Chrome 58+ будет возвращать NET::ERR_CERT_COMMON_NAME_INVALID, если вы пытаетесь подключиться к ресурсу с именем, которое указано только в Common Name его сертификата, но отсутствует в SAN.
Что делать, если всё завязано на Common Name
Если вы умудрились до сих пор эксплуатировать локальную PKI, в которой смело выписываете сертификаты, указывая имена субъектов в Common Name, существует промежуточное решение для временного решения ситуации.
Откройте ключ реестра:
HKLM\Software\Policies\Google\Chrome\
и создайте там параметр EnableCommonNameFallbackForLocalAnchors типа DWORD32 и со значением в единицу. Google Chrome продолжит анализировать Common Name у сертификатов.
Но, в общем-то, это нужно воспринимать исключительно как временную меру.
