SSL-Zertifikate sorgen heute für sichere Datenübertragung im Netz. Das SSL-Protokoll nutzt digitale Zertifikate zur Verschlüsselung der übermittelten Daten sowie zur Authentifizierung des Servers. Doch was ist zu tun, wenn nach einer erfolgreichen Integration eines SSL-Zertifikats noch immer die Meldung "Connection insecure" oder "Certificate invalid" in Browsern erscheint?
Im November 2019 wurden neue Anforderungen an das Regelwerk der SSL-Zertifikate bekannt. Diese neue Regelungen verursachen nun bei manchen Produkten Probleme. Imprivata OneSign z.B. generiert in der neusten 7.2 Version immer noch SSL "Certificate Requests" die mit den neuen Regelungen nicht "compliant" sind. Die Konsequenz ist, dass moderne Webbrowser das Zertifikat ablehnen ("connection insecure") obwohl alles in Ordnung zu sein scheint.
Die neuen Regeln lauten:
- TLS server certificates must have a validity period of 825 days or fewer (as expressed in the NotBefore and NotAfter fields of the certificate).
- TLS server certificates must present the DNS name of the server in the Subject Alternative Name extension of the certificate. DNS names in the CommonName of a certificate are no longer trusted. Connections to TLS servers violating these new requirements will fail and may cause network failures, apps to fail, and websites to not load.
Imprivata OneSign v7.2 z.B. übergeht beide Regeln. Das Standarddatum beträgt 10 Jahre (3650 Tage) und ein DNS Name (das "Subject Alternate Name" Feld) gibt es im Certificate Request gar nicht erst.
Das Resultat:
Das SSL-Zertifikat wird vom C- Admin zurückgewiesen, obwohl es auf den ersten Blick korrekt aussieht. Moderne Browser wie Edge mit Chromium, Google Chrome und Safari geben die Meldung "Verbindung ist nicht sicher" aus.
Die Lösung:
Das Ablauf Datum im "Generate CSR" Wizard von rund 10 Jahren auf 824 Tage ändern und danach in der CA-Software das Feld "san:dns=<FQDN>" manuell hinzufügen:
In der CA-Software folgendes manuell hinzufügen:
Anschliessend ist das Zertifikat als Base64 Format herunterzuladen (also als Plain Text, das "DER" Format ist ja binär) und in den Notepad zu laden, kopieren und anschliessend das Zertifikat in die Imprivata Appliance importieren. Danach einen Neustart des Browser durchführen. Im Anschluss wird keine "Connection insecure" Meldung mehr erscheinen, da nun beide Anforderungen "Ablauf Datum < 825 Tage" + "FQDN in SAN DNS Field" erfüllt sind.
Nun betrifft dies nicht nur Imprivata sondern grundsätzlich ALLES, was mit SSL-Zertifikaten arbeitet. Wenn also irgendwo ein Zertifikat generiert bzw. installiert wird und der Browser noch immer "Connection insecure" oder "Certificate invalid" meldet, dann ist die Chance sehr gross, dass eine von den beiden obengenannten Anforderungen nicht erfüllt sind.
Anfrage
Jetzt anmelden
