Início / computer / Perguntas / 1492207
Accepted
Charles Duffy
Asked: 2019-10-15 08:58:02 +0800 CST

NET::ERR_CERT_REVOKED no Chrome/Chromium, introduzido com o MacOS Catalina

  • 772

Estou testando um dispositivo que gera um novo certificado autoassinado após cada hard reset.

Imediatamente após a instalação do MacOS Catalina, as versões recentes do Chrome (e do Brave) começaram a gerar uma NET::ERR_CERT_REVOKEDexceção, embora definitivamente não haja CRL publicado para este dispositivo e os certificados gerados na redefinição tenham números de série exclusivos.

A mensagem de erro tem o seguinte formato:

Você não pode visitar [endereço editado] agora porque seu certificado foi revogado. Erros e ataques de rede geralmente são temporários, então esta página provavelmente funcionará mais tarde.

Clicar no botão "Avançado" não apresenta nenhuma maneira de substituir esse erro.

O que está acontecendo aqui? Como posso contornar isso, sem tornar meu navegador inseguro para uso geral (como seria o caso, dizendo-lhe para ignorar todos os erros de certificado indiscriminadamente)?

google-chrome ssl

6 respostas

  1. Uma solução rápida (certifique-se de que você confia no site)

    No navegador Chrome enquanto estiver na página, digite:

    thisisunsafe
    • 45
  2. Best Answer

    A Apple introduziu uma série de novos requisitos para que os certificados SSL sejam aceitos pela Catalina, documentados em https://support.apple.com/en-us/HT210176 . Resumindo aqui:

    • O tamanho da chave deve ser de pelo menos 2.048 bits.
    • O algoritmo de hash deve ser SHA-2 ou mais recente.
    • Os nomes DNS devem estar em um SubjectAltName, não apenas no campo CN.

    Além disso, para certificados emitidos após 2019-07-01:

    • A extensão ExtendedKeyUsage deve estar presente, com o id-kp-ServerAuth OID.
    • O período de validade não pode ser superior a 825 dias.

    ...e, para certificados emitidos após 2020-08-01 (conforme HT211025 ):

    • O período de validade não pode ser superior a 398 dias
    • 35

  3. Se você precisar de uma solução alternativa para fazer o site funcionar sem substituir o certificado, faça o seguinte.

    1. Baixe o certificado do servidor (usando outro navegador ou com openssl)
    2. Instale o certificado no Keychain Access no armazenamento de login
    3. Defina o certificado como "sempre confiar" clicando duas vezes nele depois de instalado.
    • 8

  4. Parece que Catalina tem alguns novos requisitos para assinaturas de certificados. Charles provavelmente precisa atualizar sua geração de certificados.

    https://forums.developer.apple.com/thread/119877

    • 4

  5. Informações adicionais para certificados emitidos após setembro de 2020:

    Os certificados de servidor TLS emitidos a partir de 1º de setembro de 2020 00:00 GMT/UTC não devem ter um período de validade superior a 398 dias

    https://support.apple.com/en-us/HT211025

    https://support.apple.com/en-us/HT210176

    • 1

  6. Sim... é verdade que no MacOS Catalina Chrome e Safari apresenta o erro "NET::ERR_CERT_REVOKED" no certificado autoassinado, devido a vários motivos. Mas para iniciar rapidamente seu trabalho, você pode usar o Mozilla Firefox. Eu instalei o navegador Mozilla e funcionou para mim.

    • -2

relate perguntas