حل خطأ عدم تطابق شهادة CN للتدفق 516

المقدمة

يوضح هذا المستند كيفية حل خطأ عدم تطابق شهادة CN للتدفق 516.

مسألة

عند تكوين وكيل Umbrella Secure Web Gateway (SWG) لإجراء فحص HTTPS، يمكن للمستخدم تلقي صفحة خطأ CN خاصة بشهادة Upstream 516 عند الاستعراض إلى موقع ويب باستخدام HTTPS URL.

لا يشير هذا الخطأ إلى وجود مشكلة في سمة الاسم الشائع (CN) في حقل موضوع شهادة موقع الويب. بل تتعلق المشكلة بسمة اسم DNS في امتداد موضوع الأسماء البديلة (SAN) لشهادة ما.

بعد مراجعة هذه المقالة، إذا تعذر عليك تحديد سبب صفحة خطأ 516، فيرجى الاتصال بالدعم التقني ل Umbrella وتزويدنا بالمعلومات المحددة في قسم أخطاء هوية الشهادة في هذا المستند.

ميكانيكا هوية الشهادة

عند طلب عنوان HTTPS URL، يرسل المستعرض أو عميل ويب آخر اسم المجال في عنوان URL إلى خادم الويب من خلال ملحق إشارة اسم الخادم (SNI) في رسالة "مرحبا العميل" الخاصة بمفاوضات TLS. يستخدم الخادم قيمة SNI هذه لتحديد شهادة الخادم للرجوع إلى العميل، نظرا لأن الخادم غالبا ما يستضيف عدة مواقع ويب ويمكن أن يكون لديه شهادات مختلفة لبعض المواقع أو لجميعها.

عندما يتم تلقي شهادة الخادم من قبل عميل ويب، يتحقق العميل من أن الشهادة هي الشهادة الصحيحة للطلب عن طريق مقارنة اسم المجال المطلوب باسم (أسماء) المجال في سمات اسم DNS الخاصة بامتداد Subject Alternative Names للشهادة. تظهر هذه الصورة شبكات منطقة التخزين (SAN) هذه في شهادة خادم.

16796247745556

يقوم خادم ويب هذا بإرجاع هذه الشهادة إستجابة للطلبات ذات قيم SNI هذه، بالإضافة إلى طلبات أخرى غير مرئية في لوحة قيمة الحقل:

• www.example.org
• example.net
• example.edu
• example.com
• example.org

لاحظ أن "example.com" الخاص بشبكة منطقة التخزين (SAN) لا يطابق SNI الخاص ب www.example.com". ومع ذلك، ستتطابق شبكة منطقة التخزين (SAN) لحرف البدل ل "*.example.com" مع SNI ل www.example.com"، أو أي اسم مجال آخر يحتوي على تسمية واحدة (سلسلة بدون "." حرف) سابق ل example.com، لكن ليس تسميات متعددة. على سبيل المثال، www.hr.example.com" غير مطابق ل "*.example.com" لأن "www.hr" يتكون من عنوانين: "www" و"hr". يمكن أن تتطابق أحرف البدل المفردة فقط مع تسمية مفردة.

أخطاء هوية الشهادة

عندما يستلم عميل ويب شهادة خادم، إذا لم تتطابق أي من أسماء DNS الخاصة بشبكة التخزين مع SNI من اسم المجال في عنوان URL المطلوب، يعرض عميل الويب بشكل نموذجي خطأ للمستخدم. تعرض هذه الصورة Chrome تعرض صفحة تبادلية "NET::ERR_CERT_COMMON_NAME_INVALID".

16794294817428

في الصورة، كان الموقع المطلوب هو https://wrong.host.badssl.com" والذي لا يطابق أي من شبكات SAN. تحتوي الشهادة على اسم DNS لأحرف البدل ل SAN، "*.badssl.com" الذي يمكن لأحرف البدل الخاصة به أن تطابق ملصق واحد فقط مثل "المضيف". بالإضافة إلى ذلك، لا تحتوي الشهادة على اسم SAN DNS بالقيمة الصحيحة "wrong.host.badssl.com" أو SAN لأحرف البدل ل "*.host.badssl.com"، لذلك يتم تقديم المستخدم مع هذا الخطأ.

لتحديد سبب عدم تطابق هوية الشهادة، قم بفحص أسماء SAN DNS للشهادة باستخدام وظيفة عرض شهادة المستعرض وقارن باسم المجال في URL المطلوب. بدلا من ذلك، يمكن إستخدام أداة مثل إختبار Qualys SSL Server لتشخيص مشكلة هوية الشهادة.

إذا تعذر تحديد سبب خطأ 516 بعد إستخدام المعلومات الواردة في هذا القسم، أو إذا تعذر إستخدام الحلول والحلول البديلة الواردة في القسم التالي، فيرجى فتح حالة باستخدام الدعم الفني من Umbrella وتقديم ما يلي:

1. لقطة شاشة تلتقط صورة
   
   • شريط عنوان المستعرض الذي يظهر عنوان URL المطلوب
   • صفحة الخطأ 516 بأكملها (راجع الصورة في القسم التالي)
2. تم نسخ نص عنوان URL من شريط العناوين

قرار

لحل هذه المشكلة، قم بالوصول إلى الخادم باسم مجال يطابق أحد أسماء SAN DNS في الشهادة. قد يتطلب ذلك من مسؤول موقع الويب إضافة اسم مجال مطابق إلى DNS للمنطقة. بدلا من ذلك، يمكن للمسؤول إعادة إصدار الشهادة لتضمين اسم مجال عنوان URL في أحد أسماء DNS ل SAN.

كحل بديل، يمكن إضافة اسم مجال عنوان URL إلى قائمة فك تشفير انتقائي لوكيل عبارة الويب الآمنة أو إلى قائمة الوجهة في الوكيل الذكي. تطبيق القائمة على إعداد قواعد ويب المناسب (عبارة الويب الآمنة) أو قائمة السماح بنهج DNS (الوكيل الذكي). وهذا يؤدي إلى عدم تشفير الطلب على موقع الويب بواسطة الوكيل، مما يمنع الوكيل من عرض صفحة خطأ 516.

ملاحظة: إستخدام كل من وكيل "بوابة الويب الآمنة" والوكيل الذكي غير مدعوم. يمكن إستخدام تقنية وكيل واحد فقط لكل مؤسسة. يوصى بأن تستخدم المؤسسات التي لديها اشتراكات لبوابة الويب الآمنة SWG ولا تستخدم "الوكيل الذكي".

الاسم الشائع مهمل

تطابق عملاء الويب في الأصل اسم المجال في عنوان URL المطلوب مع سمة الاسم الشائع (CN) في حقل موضوع الشهادة. وقد أهملت هذه الآلية في زبائن الشبكة الحديثة؛ تمت مطابقة المجالات الآن مع أسماء DNS الخاصة بملحق الاسم البديل للموضوع. ومع ذلك، غالبا ما يستمر نص رسائل الخطأ في الإشارة إلى الآلية المهملة، مثل "NET::ERR_CERT_COMMON_NAME_INVALID" في Chrome.

وبالمثل، تعرض Umbrella SWG صفحة خطأ 516 مع هذا النص عندما يطلب وكيل SWG عنوان URL من خادم ويب، ويحدث عدم تطابق في اسم SAN DNS:

16794325789332

تخطط Cisco Umbrella لتحديث هذا النص في تاريخ لاحق ليعكس السلوك الحالي بشكل أفضل.

معلومات إضافية

راجع RFC 5280: ملف تعريف قائمة إبطال الشهادات (CRL) وشهادة البنية الأساسية للمفتاح العام Internet X.509، والقسم 4.1.2.6 للحصول على معلومات حول موضوع الشهادة، والقسم 4.2.1.6 للحصول على معلومات حول الاسم البديل للموضوع.