CORRELATO A:

• Web Browser:
  • Google Chrome versione 58 o superiore
• Prodotti Epson:
  • TM-T88VI-i / TM-T88VI-iHub
  • TM-m30
  • TM-P80 / TM-P60II / TM-P20
  • UB-E04 / UB-R04

SPIEGAZIONE:

IL PROBLEMA:

Per Chrome 58 e versioni successive, solo l'estensione "subjectAlternativeName" (non commonName) viene utilizzata per abbinare il nome del dominio con il certificato del sito. Se il certificato non ha l'estensione "subjectAlternativeName" corretta, l'utente riceverà un messaggio di errore che indica che la connessione non è privata.

CONTESTO:

RFC 2818 descrive due metodi per abbinare il nome di un dominio a un certificato:

• Utilizzando i nomi disponibili all'interno dell'estensione "subjectAlternativeName"; o,
• Utilizzando il "commonName".

L'uso di "commonName" è stato disapprovato all'interno dell'RFC 2818 (pubblicato nel 2000), ma il supporto è rimasto per la maggior parte dei client. Per motivi di sicurezza, questo supporto è stato rimosso.

SOLUZIONI:

Per poter ovviare a questo problema, esistono due opzioni per gli utenti di Google Chrome:

1. Disabilitare il controllo di "subjectAlternativeName" in Chrome.

   Questo è un espediente che non funzionerà con le versioni di Google Chrome superiori alla 65, e dovrebbe essere utilizzato solo come soluzione temporanea.

2. Sostituire il certificato incriminato con uno che utilizzi l'estensione "subjectAlternativeName".

   Se implementata correttamente, questa è una correzione permanente che dovrebbe funzionare per la maggior parte dei browser che potrebbero implementare il controllo "subjectAlternativeName".

Come disabilitare il controllo di "subjectAlternativeName" in Chrome:

Aggiungendo le seguenti impostazioni all'ambiente in cui si sta lavorando, Chrome può essere costretto a consentire i certificati che non hanno l'estensione "subjectAlternativeName":

• Registro di sistema di Windows (REG_DWORD):

  Software\Policies\Google\Chrome\EnableCommonNameFallbackForLocalAnchors

• Nome preferenza per Mac/Linux (Boolean):

  EnableCommonNameFallbackForLocalAnchors

• Nome restrizione Android (Boolean):

  EnableCommonNameFallbackForLocalAnchors

Quando questa impostazione è abilitata, Google Chrome utilizzerà il "commonName" di un certificato del server per abbinare un hostname se il certificato non ha un'estensione "SubjectAlternativeName", purché sia convalidato con successo a un certificato "CA" installato localmente.

Esempio:
Una chiave di registro può essere aggiunta a Windows immettendo il testo seguente al prompt dei comandi: reg add HKLM\Software\Policies\Google\Chrome /v EnableCommonNameFallbackForLocalAnchors /t REG_DWORD /d 1 Questo espediente non funzionerà con le versioni di Google Chrome superiori alla 65

Esempio di creazione e caricamento di un certificato utilizzando l'estensione "subjectAlternativeName"

Per questo esempio, creeremo un file di configurazione contenente le informazioni richieste:

Questo file contiene i dettagli specifici relativi agli oggetti di sicurezza che vogliamo generare, compresi gli hostnames, evidenziati in rosso. Si noti che questi possono essere un indirizzo IP o DNS.

Una volta che questo file è stato generato, possiamo eseguire "req" per generare gli oggetti di sicurezza. Per esempio:

Per poter caricare questa stampante, è necessario comprimere gli oggetti di sicurezza (chiave e certificato) in un archivio PKCS#12. Per esempio:

OpenSSL richiederà una password in modo interattivo.

Il risultato è un archivio PKCS#12 pronto per essere caricato sul server (stampante), ed un certificato pronto per essere installato nel client.