当前位置：首页 > article >正文

从ERR_CERT_COMMON_NAME_INVALID错误，聊聊SSL证书里的Common Name和SAN到底有什么区别？

article 2026/5/21 3:23:16

从ERR_CERT_COMMON_NAME_INVALID错误解析SSL证书中CN与SAN的演进逻辑当你在Chrome浏览器中看到鲜红色的ERR_CERT_COMMON_NAME_INVALID警告页面时背后隐藏的是一场持续二十年的证书标准进化史。这个看似简单的域名验证错误实际上是现代网络安全体系对传统SSL证书机制的淘汰宣言。1. CN与SAN的技术基因差异Common NameCN字段诞生于1999年的SSL证书v1.0时代当时互联网还是以单个域名服务为主的架构。在X.509证书标准中CN被设计为证书持有者的标识字段其原始用途是标识证书持有者身份如CNExample Company后来被借用来验证域名匹配。这种设计存在三个根本缺陷单点验证局限一个CN字段只能承载一个完全限定域名(FQDN)通配符滥用风险*.example.com这样的通配符可能覆盖过多子域名扩展性缺失无法适应现代多域名、多IP的服务架构# 典型含CN字段的证书查看命令 openssl x509 -in certificate.pem -noout -subject # 输出示例subject /CUS/STCalifornia/LSan Francisco/OExample Inc./CNexample.comSubject Alternative NameSAN扩展则是专为解决这些问题而生的现代方案。作为X.509 v3扩展字段它具有以下技术优势特性CN字段SAN扩展容量单个字符串多值列表DNS/IP/URI等验证权重已被现代浏览器降级首要验证标准灵活性仅支持域名支持多种标识类型标准状态传统方案RFC 5280强制要求2. 浏览器验证机制的世代更迭2017年Chrome 58版本发布时其代码库中的一项改动彻底改变了CN字段的命运。在net/cert/cert_verify_proc.cc中Chromium团队将CN验证的优先级降至SAN之后。这个变更背后的技术考量包括安全策略升级SAN扩展要求CA进行更严格的域名控制验证多值SAN列表减少了证书误配置的可能性通配符使用范围在SAN中受到更明确的限制验证流程优化graph TD A[获取证书] -- B{存在SAN扩展?} B --|是| C[验证SAN列表] B --|否| D[检查CN字段] C -- E[匹配成功] D -- F[降级验证]重要提示自2020年起所有主流浏览器Chrome/Firefox/Safari均已将SAN作为首要验证依据仅当SAN不存在时才回退到CN验证。实际案例中常见的配置陷阱使用OpenSSL生成证书时未添加subjectAltName扩展证书申请过程中未正确提交所有需要覆盖的域名负载均衡器配置未同步更新证书链3. 现代证书生成的最佳实践要生成符合当前标准的证书OpenSSL配置应当包含完整的SAN扩展。以下是2023年推荐的证书生成流程创建配置文件ssl.conf[req] default_bits 2048 distinguished_name req_distinguished_name req_extensions v3_req [req_distinguished_name] countryName Country stateOrProvinceName State localityName City organizationName Organization commonName Common Name [v3_req] keyUsage keyEncipherment, dataEncipherment extendedKeyUsage serverAuth subjectAltName alt_names [alt_names] DNS.1 example.com DNS.2 www.example.com IP.1 192.168.1.1生成密钥和CSRopenssl genpkey -algorithm RSA -out private.key openssl req -new -key private.key -out request.csr -config ssl.conf检查生成的CSR是否包含SANopenssl req -in request.csr -noout -text | grep -A1 Subject Alternative Name对于Lets Encrypt等现代CA服务其ACME协议已强制要求SAN扩展。使用Certbot工具时可通过以下命令确保包含所有必要域名certbot certonly --webroot -w /var/www/html -d example.com -d www.example.com4. 故障排查的进阶技巧当遇到ERR_CERT_COMMON_NAME_INVALID时系统化的排查流程应该是证书信息提取openssl s_client -connect example.com:443 -servername example.com | openssl x509 -noout -text验证SAN覆盖范围检查是否包含访问的确切域名验证通配符范围是否适当确认IP地址如有是否匹配浏览器兼容性检查Chrome的chrome://net-internals/#hsts工具Firefox的about:certificate页面常见误区的技术真相误区1修改hosts文件可以绕过验证事实SAN验证在TLS握手阶段完成早于DNS解析误区2自签名证书不需要SAN事实现代浏览器对自签名证书同样执行SAN优先策略误区3通配符证书可以匹配任意子域名事实*.example.com不匹配example.com本身在微服务架构中特别需要注意每个服务实例的证书SAN必须包含其服务发现名称Kubernetes Ingress需要为每个host配置独立的SAN服务网格(Service Mesh)中的mTLS需要特殊的SAN配置5. 证书生态的未来演进随着RFC 8737和ACME v2协议的普及证书自动化管理正在经历新的变革。值得关注的技术趋势包括短周期证书Lets Encrypt的90天有效期成为新常态自动化轮换工具如Cert Manager的兴起证书透明度(CT)日志# 查询证书透明度日志 openssl s_client -connect example.com:443 -servername example.com | openssl x509 -noout -text | grep CT Precertificate SCTs新型标识方案SPIFFE/SPIRE标准的身份标识基于区块链的分布式证书体系在容器化环境中证书管理的最佳实践已经演变为将证书作为Secret对象管理使用Operator模式自动处理续期通过sidecar容器注入证书开发测试环境中可以使用mkcert工具快速生成本地可信证书mkcert -install mkcert example.com *.example.com localhost 127.0.0.1 ::1随着QUIC/HTTP3的普及证书验证机制又面临着新的挑战。TLS 1.3的0-RTT特性与证书撤销检查之间需要精细平衡这可能导致未来SAN验证流程的进一步优化。

从ERR_CERT_COMMON_NAME_INVALID错误，聊聊SSL证书里的Common Name和SAN到底有什么区别？

相关文章：

从ERR_CERT_COMMON_NAME_INVALID错误，聊聊SSL证书里的Common Name和SAN到底有什么区别？

HTTPS握手失败？别慌！手把手教你用OpenSSL和Wireshark排查TLS与Cipher Suites问题

Logisim新手避坑指南：手把手搞定头歌平台偶校验解码电路（附完整data.circ文件配置）

从缺页异常看Linux内存管理的基石：写时复制、延迟分配与交换机制

用Sunshine搭建私人游戏串流服务器：从零到畅玩的完整指南

具身智能商业化提速：天问机器人六大业务板块数据全景扫描

国产OK镜靠谱品牌怎么选？欧普康视硬核资质与全维度实力详解

SD-PPP：打破Photoshop与AI壁垒的革命性插件

TVBOX最新电视直播软件tv版下载与安装教程

在i.MX6UL开发板上移植ncnn：嵌入式AI部署实战与性能优化

边缘AI算力模组：物联网终端智能化的核心引擎与落地实践

九成中老年为之困扰：隐秘的足部护理刚需，正催生一条翻倍增长赛道

开题不是写作文，是做设计——百考通AI助你交出一份真实可行的研究蓝图

Agent 与 Chat 的区别及常见工具详解

告别ArcGIS！用Python+MRT批量处理MODIS 16A2蒸散发数据，从HDF到月均ET全流程

别再为EDFA仿真报错发愁了！手把手教你用OptiSystem搞定‘Initial Delay’和‘Iterations’设置

Python点云数据处理避坑指南：pypcd与pypcd4库在Ubuntu下的安装与实战对比

核控卡件综合测试平台

从零封装一个MCP4728的C语言驱动库：支持STM32/HAL库，含EEPROM读写状态处理

ADAU1452/1467硬件设计避坑：手把手教你从原理图到SigmaStudio的通道映射（含AD1938实例）

告别枯燥理论！用Quartus II和LPM_ROM手把手带你玩转FPGA正弦波音乐盒

普冉PY32F003单片机PWM呼吸灯实战：从8ms定时器中断到10KHz波形平滑调节

避坑指南：iMX6ULL上RTL8723BU模块的WiFi延迟与蓝牙扫描问题分析与优化

用Arduino Nano和MPU6050做个‘防抖云台’：PID调参实战，告别手抖视频

JavaSwing社团管理系统 - MySQL版

pip修改镜像源

UMI 采集技术落地应用核数聚助力人形机器人快速迭代

TortoiseGit实战：用‘拣选’功能精准移植单个提交，告别全量合并的烦恼

ZYNQ平台SGMII光口实战：从Vivado连线、设备树到静态IP设置的完整避坑指南

你的RAR5密码有多安全？我用hashcat掩码攻击实测了一下