2009/3/19 MC: >>> puoi anche mettere come CN *.domain.com, questo crea un certificato che >>> viene accettato per tutti gli host del dominio. > > Attenzione: il subject di un certificato deve essere un DN x500; il subject > alternative name puo', tra le altre cose, riportare un DNSName composto in > base a quanto stabilito nell'RFC1034 nella quale si specifica che le label > devono essere create utilizzando i 52 caratteri alfabetici e i 10 numerici > (A-Z, a-z, 0-9). [...]
2009/3/22 MC: >>> puoi anche mettere come CN *.domain.com [...] > Non c'è SAN e il certificate è accettato correttamente da IE8 e Opera 9.x. > Non ho provato Firefox, ma credo non ci siano problemi. In questo caso, non > essendoci un DNSname definito nel SAN, il browser non dovrebbe effettuare il > controllo per il match tra quanto digitato nella barra degli indirizzi e > quanto riportato nel certificato ed è per questo non si genera il classico > warning sul browser. Non è corretto. Ri-posto perché un admin un po' troppo "zelante" ha censurato un mio messaggio precedente che spiegava come funziona. Leggo l'RFC 2818. Dice che SE è presente il subjectAltName, questo deve essere utilizzato per identificare il nome di dominio. E "Matching is performed using the matching rules specified by RFC2459". Che significa: "Names may contain the wildcard character * which is considered to match any single domain name component or component fragment. E.g., *.a.com matches foo.a.com but not bar.foo.a.com. f*.com matches foo.com but not bar.com." Quindi esiste il matching per wildcard ANCHE nel subjectAltName - ancora, LEGGERE BENE l'RFC!!!! Se invece NON è presente il subjectAltName, si utilizza il "vecchio" campo CN. Ed anche qua i wildcard sono ammessi da RFC. In questo tuo secondo caso (*.issa.org), il browser effettua il matching sul CN. Quindi non visualizza il warning NON perché non c'è un subjectAltName, ma perché il wildcard è stato specificato in modo corretto nel certificato. Se per esempio si cercasse di utilizzare il certificato anche per www.thirdlevel.issa.org, qualsiasi browser ti visualizzerebbe il warning (anche senza subjectAltName). Cordiali saluti -- Marco Ermini r...@human # mount -t life -o ro /dev/dna /genetic/research http://www.linkedin.com/in/marcoermini "Jesus saves... but Buddha makes incremental back-ups!" Sent from: Düsseldorf Nordrhein-Westfalen Germany. ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
