27 сентября 2018 г.

Обновления до профиля сертификата с полной иерархией SHA256 EV

27 сентября 2018 г. мы удалили OID политики Symantec из сертификатов EV TLS, выпущенных с использованием полной иерархии SHA256 EV[Корневой DigiCert Global G2 => промежуточный DigiCert Global G2 => сертификат EV TLS/SSL].

Проблема: Ошибка Chrome в macOS

В июле 2018 г. нами была обнаружена ошибка Chrome, запускаемого на macOS, когда не отображался индикатор EV сертификата EV TLS с более чем двумя OID политики – https://bugs.chromium.org/p/chromium/issues/detail?id=867944.

Способ устранения

Мы удалили OID политики из профиля сертификата SHA256 EV с полной иерархией. После внесения данного изменения Chrome при запуске в macOS снова показал индикатор EV для сертификатов EV TLS, выпущенных с использованием полной иерархии SHA256 EV.

Сертификаты EV TLS, на которые это повлияло

Сертификаты EV TLS (из полной иерархии SHA256 EV), выпущенные после 31 января 2018 г., и до 27 сентября 2018 г., содержат три следующих OID в Расширение сертификата - политики сертификатов:

  • 2.16.840.1.114412.2.1 (OID DigiCert)
  • 2.16.840.1.113733.1.7.23.6 (OID Symantec)
  • 2.23.140.1.1 (OID CAB/F)

Что нужно сделать?

Есть ли у вас сертификаты EV TLS, которые не показывают индикатор EV в Chrome при запуске в macOS?

Замените (перевыпустите) ваши сертификаты EV TLS, чтобы они показывали индикатор EV в Chrome при запуске в macOS. Полные сертификаты SHA256 EV TLS, выпущенные на 27 сентября 2018г., содержат только два OID политики в Расширение сертификата - политики сертификатов:

  • 2.16.840.1.114412.2.1 (OID DigiCert)
  • 2.23.140.1.1 (OID CAB/F)

Что можно сказать про другие типы сертификатов?

Для других типов сертификатов предпринимать какие-либо действия не требуется.