Chrome 中对证书的新要求是什么？

Question

对于其他浏览器支持的某些证书​​，Chrome 现在会抛出 NET::ERR_CERT_INVALID。

我能找到的唯一线索是关于新的 Chrome 根存储的问题列表，它也阻止了企业 CA 安装。

https://chromium.googlesource.com/chromium/src/+/main/net/data/ssl/chrome_root_store/faq.md

尤其，

Chrome 证书验证程序将应用标准处理以包括检查：

• 证书的密钥用法和扩展密钥用法与 TLS 用例一致。
• 证书有效期不是过去或将来。
• 密钥大小和算法的质量已知且可接受。
• 是否包含不匹配或未知的签名算法。
• 证书没有链接到或通过被阻止的 CA。
• 符合 RFC 5280。

我验证了我的证书在 Edge 中按预期工作。

此外，我验证了证书是版本“3”，具有 2048 位密钥，并且具有用于服务器身份验证的扩展密钥用法。

我仍然不明白当浏览器只说“无效”时，该证书应该符合哪个“标准”。有没有我可以使用的简单模板或策略？

Answer 1

Chrome 现在拒绝包含称为 pathLenConstraint 或有时显示为 Path Length Constraint 的变量的 TLS 证书。

我使用的是 Microsoft Active Directory 证书服务颁发的证书。 Basic Constraints 扩展已启用，AD CS 错误地为最终实体注入 Path length Constraint=0 此配置中的非 CA 证书。

解决方案是颁发没有基本约束的证书。只要路径长度变量不存在，Chrome 对打开或关闭基本约束都同样满意。

用于故障排除的更好资源之一是此 Certificate Linter：

https://crt.sh/lintcert

它在服务器证书中发现了几个错误，包括路径长度设置为零。

我还发现了一个讨论各种证书颁发机构的线程，这些证书颁发机构将以相同的方式颁发证书，因此这是一个相当普遍的问题。

https://github.com/pyca/cryptography/issues/3856

另一个很好的资源是我作为替代 CA 安装的 smallstep 开源项目。生成通用证书后，无效证书错误消失了，我意识到 Microsoft 和 Google 程序之间发生了一些事情。

Answer 2

您可以自己做的最好的事情是运行带有调试日志记录的 Chrome，以找到问题的确切原因：

chrome --enable-logging --v=1

我相信，这将打印：

ERROR: Target certificate looks like a CA but does not set all CA properties

同时，他们似乎已经恢复了此验证，如果我没记错的话，它将在 3 月初作为 Chrome 111 发布。

见：https://chromium-review.googlesource.com/c/chromium/src/+/4119124