GlobalSign Blog

02 mrt. 2018

Wat is een SSL common name mismatch error en hoe verhelp ik die?

Heb je volgende foutmelding al eens gezien wanneer je een website wou bezoeken?

Chrome: ‘This server could not prove that it is example.com; its security certificate is from example.com. This may cause a misconfiguration or an attacker intercepting your connection’

Chrome: ‘This server could not prove that it is example.com; its security certificate is from example.com (Deze server kan niet bewijzen dat het example.com is; het beveiligingscertificaat is van example.com).

This may cause a misconfiguration or an attacker intercepting your connection’ (dit kan tot een verkeerde configuratie leiden of een aanvaller in de gelegenheid stellen gegevens die worden verzonden te onderscheppen)

Internet Explorer: ‘The security certificate presented by this website was issues for a different website’s address. Security certificate problems may indicate an attempt to fool you or intercept any data you send to the server.’

Internet Explorer: ‘Het beveiligingscertificaat dat door deze website wordt gebruikt, is uitgegeven aan een adres voor een andere website. Problemen met beveiligingscertificaten kunnen duiden op een poging om u informatie te ontfutselen of om informatie die u naar de server verzendt, te onderscheppen.

Er zijn verschillende manieren waarop deze waarschuwing kan worden gepresenteerd, afhankelijk van de browser en de versie van de browser die je gebruikt, maar wanneer jij de bezoeker van de website bent of de eigenaar bent van de website, is dit bericht nogal slecht nieuws.

Dus laten we beginnen door uit te leggen wat deze melding betekent.

Een fout betreffende de algemene naam doet zich voor wanneer de algemene naam of  SAN van een SSL/TLS-certificaat niet overeenkomt met de naam van het domein of die in de adresbalk in de browser. Dit kan gebeuren als je bijvoorbeeld https://voorbeeld.com bezoekt in plaats van https://www.voorbeeld.com als deze niet allebei worden vermeld in de SAN van het certificaat.

In de eerste plaats moet je, indien je niet de eigenaar bent, contact opnemen met degene die dit probleem moet verhelpen. Ga NIET doodgewoon verder. Het is mogelijk dat de fout zich voordoet omdat een hacker of phisher je om te tuin wil leiden met een namaak website.

Als je de eigenaar van de website of het domein bent en je deze fout wil oplossen, dan zijn er hier een paar nuttige tips.

Common name mismatch error verhelpen

Er kunnen verschillende redenen zijn voor dit probleem, dus moet je beginnen met een grondige analyse. Voer om te beginnen het domein van de website in in de SSL-checker van GlobalSign.

entering the domain of your website into GlobalSign’s SSL checker.

Afbeelding 1 Resultaten gebruik SSL-checker bij website met deze fout

Bij deze controle moet je in de eerste plaats kijken welk certificaat momenteel is geïnstalleerd op de server of het IP-adres. Normaal gesproken kan je zo vaststellen waarom je de foutmelding krijgt, daar kunnen verschillende redenen voor zijn.

Onthoud dat er niet per se iets aan de hand is met het SSL/TLS-certificaat of met de website. Tussen het moment dat iemand een domein bezoekt en het moment dat iemand de website bereikt wordt het verkeerde certificaat gepresenteerd.

Het kan nodig zijn om contact op te nemen met de IT-afdeling om uit te zoeken waar het certificaat is geïnstalleerd en waar het wordt geconfigureerd.

Het website werd vergeten toe te voegen aan de common name

Het kan zo eenvoudig zijn als in het hierboven genoemde voorbeeld. Wanneer je een certificaat aankoopt met de algemene naam www.voorbeeld.com maar vergeet/bewust voorbeeld.com als SAN toe te voegen aan het certificaat.

Klik op ‘Ignore Certificate Mismatch’ (Verschil in certificaat negeren) in de SSL-checker van GlobalSign en je krijgt een volledige analyse te zien van het SSL/TLS-certificaat op dat domein. Aan het gedeelte Common Name en SAN kan je zien of de juiste domeinen en IP-adressen zijn opgenomen.

correct IPs and SANs listed in certificate - common name mismatch error

Afbeelding 2: Resultaten wanneer je 'Ignore Certificate Mismatch' selecteert en het volledige certificaat inspecteert

Als je een certificaat bestelt bij GlobalSign met als common name www.voorbeeld.com, geven wij gratis voorbeeld.com er bij. Als je voorbeeld.com invoert als common name, kan je onze optie UC SAN gebruiken, zodat jullie www.globalsign.com gratis kunt toevoegen tijdens de bestelling. Je kan dit ook toevoegen nadat het certificaat is uitgegeven door de SAN-opties te bewerken.

De website maakt geen gebruik van SSL maar deelt een IP-adres met een andere site die dat wel doet.

Als een website een IP-adres deelt met andere sites, dan kan dit van belang zijn en de oplossingen kunnen variëren.

Het is mogelijk dat je van een gedeelde host gebruikmaakt. Sommige hosting-bedrijven vereisen een uniek IP-adres voor ondersteuning van SSL. Als een van de klanten die gebruik maakt van het IP-adres een SSL/TLS-certificaat heeft geïnstalleerd op dat gedeelde IP adres, kan het een verstorende werking hebben op de sites.

Het kan ook zijn dat de client of de server (of alle twee) SNI (Server Name Indication, servernaamindicatie) niet ondersteunen.

Een voorbeeld hiervan zou zijn als voorbeeld.com (standaardsite) en voorbeeld.org worden gehost op hetzelfde IP-adres. Je hebt certificaten voor beiden en ze zijn alle twee geconfigureerd. Als de server geen SNI ondersteunt, wordt alleen het standaard SSL-certificaat gepresenteerd. Als de client geen SNI ondersteunt, zien ze allebei alleen het standaard certificaat van de site.

Als de server en de client SNI ondersteunen, wordt iedere keer het juiste certificaat gepresenteerd. Vrijwel alle moderne clients en servers ondersteunen SNI maar er kunnen problemen optreden bij oudere systemen.

Als oplossing kan het nodig zijn dat je SNI ondersteunt of een speciaal IP-adres verkrijgt (en dat brengt wijzigingen in de DNS-instellingen met zich mee).

De website bestaat niet meer, maar de domeinnaam verwijst nog naar het oude IP-adres, waar nu een andere site wordt gehost.

Ook hier bieden de DNS-instellingen uitkomst. Zorg dat de DNS verwijst naar het nieuwe IP-adres in plaats van het oude!

De hosting-provider heeft vooraf geconfigureerde instellingen die de installatie van het certificaat onderdrukken.

Jouw hosting-provider heeft misschien bepaalde instellingen vooraf geconfigureerd die SSL op elk van haar domeinen regelt. Als je een SSL/TLS-certificaat van een andere certificeringsautoriteit aanschaft en installeert, krijg je de foutmelding te zien.

Net als hierboven moet je in dat geval naar ‘Ignore Certificate Mismatch’ gaan in de SSL-checker van GlobalSign om de volledige certificaatgegevens te kunnen bekijken. Als de Common Name of SAN de naam van de hosting-provider bevat, dan is dit waarschijnlijk wat er gaande is.

Je moet contact opnemen met de hosting-provider en vragen het bedrijfseigen certificaat te verwijderen, zodat het eigen certificaat kunt installeren. En als ze dat niet willen doen? Verander dan van provider, want dit is een slechte zaak. Je moet een SSL/TLS-certificaat kunnen betrekken van wie dan ook.

Server of firewall configuraties

Je moet ook de instellingen van een firewall en lastverdeling nagaan. Met name een firewall kan zo zijn ingesteld dat het een certificaat van een bepaalde server ophaalt ook al verwijst dit naar meerdere servers, dus je moet er zeker van zijn dat de firewall correct is ingesteld.

Helaas ben je in deze situatie de enige die het probleem kan verhelpen en daar heb je toch enige IT-kennis voor nodig of iemand die je met dit IT-probleem kan helpen.

Samenvatting

Samengevat komt het erop neer dat alle informatie tijdens het bestelproces correct moet zijn en dat de server juist insteld en configureert moet zijn. Als je niet zeker weet hoe je een SAN toevoegt of een basisdomein opneemt in het bestelproces, bel ons dan vandaag nog.

Als je denkt dat het probleem met de serverconfiguraties te maken heeft, neem je best contact op met jouw IT-team of hosting-bedrijf.

Share this Post

Write for Us

Apply Now