Chrome 58 发布：修复同形异义字漏洞，取消通用名检查

发布日期：2017-04-25

Google Chrome近日发布了第58稳定版本，在新版本中有诸多的功能更新，比如修复同形异义字漏洞，取消了对通用名检查的支持。如果你管理或使用一个私有根或PKI，你可能想要确认自己签发的证书是正确的。加密媒体扩展 EME被限制为HTTPS-only，通知提醒API也将在之后的Chrome版本中加入HTTPS华丽阵容。

修复同形异义字漏洞

足以以假乱真的同形异义字漏洞在新版本中得到修复，比如下面的假冒苹果官网钓鱼网址：

在新版本Chrome 58中显示如下：

通用名支持被取消

许多人并不知道，那个包含着SSL证书是否对某域名生效的“通用名称”字段，早在二十年前就被RFC淘汰了。取而代之的应该是SAN(主题备用名称)字段。

然而，这一点多年来一直被忽略，通用名字段被单独使用多年。在Chrome 58中，这个钉子户终于被完全忽略。也就是说，那些专门使用该字段来指示有效域名的证书将不再得到支持。由于被公开信任的SSL证书同时支持两种字段，确保与所有软件的最大兼容性，因此如果您的证书来自受信任的CA，则无需担心。

此更改只会影响私有PKI和其他未遵循规范的软件。如果您发现任何网站返回错误“NET :: ERR_CERT_COMMON_NAME_INVALID”，可能是由于证书不正确使用SAN。 Sophos的HTTPS拦截产品的用户现在发现他们的软件不符合RFC。对此，Eric Lawrence针对该话题发布了一篇相关博文。

Netflex近期的一项研究表明，通用名处理很容易被黑客利用，进一步说明了Chrome这项举措的安全意义。

加密媒体扩展需要HTTPS

Chrome正在逐步推进计划，不再采用不安全的起源的强大功能。这次中枪的是EME，虽然已不怎么被用到，这项功能仍是Chrome 58推进互联网生态安全的一个小改变。

通知提醒也需要HTTPS

通知提醒API也将在今年新推出的Chrome版本中加入HTTPS俱乐部。在Chrome 58中，一则警告被添加到控制台用以提示开发者。如果你的网站依赖于“通知提示”，请在2017年9月，也就是Chrome 61发布之前，做好放弃HTTP的准备。

AIA提取功能(仅安卓用户)

证书错误的常见原因之一是配置不正确的证书链，当服务器忘记包含所有中间证书时，客户端可能无法将路径构建到受信任的根目录，并认为证书不受信任。为了解决这个问题，证书包含一个名为“AIA”的字段，其中包含可以找到适当的中间证书的URL。这使得客户端能够获取文件，即使服务器没有提供它。但是，只有实现“AIA提取”的客户端才能利用此功能。 Chrome支持在其他平台上取得AIA，现在已将该功能添加到其Android应用程序中。

Chrome 58 发布：修复同形异义字漏洞，取消通用名检查

数字证书

技术支持

关于沃通

旗下网站