> Non è corretto. Ri-posto perché un admin un po' troppo "zelante" ha > censurato un mio messaggio precedente che spiegava come funziona. > > Leggo l'RFC 2818. Dice che SE è presente il subjectAltName, questo > deve essere utilizzato per identificare il nome di dominio. E > "Matching is performed using the matching rules specified by RFC2459". > Che significa: > > "Names may contain the wildcard character * which is considered to > match any single domain name component or component fragment. E.g., > *.a.com matches foo.a.com but not bar.foo.a.com. f*.com matches > foo.com but not bar.com." > > Quindi esiste il matching per wildcard ANCHE nel subjectAltName - > ancora, LEGGERE BENE l'RFC!!!! > > Se invece NON è presente il subjectAltName, si utilizza il "vecchio" > campo CN. Ed anche qua i wildcard sono ammessi da RFC. > > In questo tuo secondo caso (*.issa.org), il browser effettua il > matching sul CN. Quindi non visualizza il warning NON perché non c'è > un subjectAltName, ma perché il wildcard è stato specificato in modo > corretto nel certificato. Se per esempio si cercasse di utilizzare il > certificato anche per www.thirdlevel.issa.org, qualsiasi browser ti > visualizzerebbe il warning (anche senza subjectAltName).
Confermo riportando un mia esperienza recente con certificato wildcard CN *.domain.com e uno strano comportamento del browser. IE7 mi visualizzava correttamente il warning quando facevo browsing di www.thirdlev.domain.com, mentre ad un collega Firefox non segnalava alcun warning. Nota: non conosco quale versione di Firefox utilizzasse e se avesse disabilitato qualche impostazione. Ciao - Gabriele. ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
