Главная » Форум » Gentoo Linux » Системное администрирование

{[Почти] РЕШЕНО} Вопрос о критериях правильности заполнения полей SSL-сертификата web-сервера

Anarchist 14 июня, 2017 - 11:43

Сертификат фиксирует привязку к доменному имени.
В изначальной интерпретации доменное имя писалось в поле CommonName (CN) и на его значение налагалось требование уникальности.
Что, при использовании нескольких серверов, доставляет определённые неудобства.

Первой попыткой решения проблемы было использование метасимвола '*' в своём изначальном и интуитивно-понятном смысле.
Насколько мне известно, данное решение не было стандартизировано и поддерживалось далеко не всеми клиентами.

Следующим этапом было прописывание доменных имён (DNS) или IP-адресов (IP, этот сценарий не пробовал) в поле subjectAltName блока расширений сертификата.
Одновременно или с минимальной задержкой (согласно wiki ИндейцаOpenSSL 0.9.8f [11 Oct 2007], но пользователи XPени на праздник жизни уже не попали) запилили поддержку SSL Name Virtual Hosts.

До недавних пор по крайней мере популярные браузеры поддерживали оба формата (доменное имя можно было прописывать как конкретным значением в CommonName, так и списком в subjectAltName).
И тут внезапно выяснилось, что заявляющийся в качестве законодателя мод и стандартов Google Chrome версии 58.0.3029.110 требует указывать доменное имя только в subjectAltName, игнорируя CommonName.
Причём современный ему firefox («стабильный», т.е. ESR, 52.1.0-r1) принимает оба варианта сертификатов.

Вопрос: есть ли в логике гуглохрома что-то сверх очередного этапа гнобления самоподписанных сертификатов?

Итого: Последний оставшийся вопрос скорее исторического характера: о бытии https до 2000-го года и откуда пошла распространённая практика писать доменное имя сервера в поле CommonName?

‹ [РЕШЕНО] не пускает на FTP извне Как получать hostname от провайдера? ›
»

Вопрос, конечно, интересный,

Автор SysA, дата создания 14 июня, 2017 - 12:24.

Вопрос, конечно, интересный, - а у Гугла спросить не пробовал?

В принципе там достаточно адекватный народ, так что я думаю, что ответят по существу.

»

На самом деле, здесь поводов

Автор Tzar, дата создания 18 июня, 2017 - 02:13.

На самом деле, здесь поводов возмущаться нет. И так сделать было давно пора. Цитирую RFC 2818 (от 2000 года, промежду прочим):

If a subjectAltName extension of type dNSName is present, that MUST
be used as the identity. Otherwise, the (most specific) Common Name
field in the Subject field of the certificate MUST be used. Although
the use of the Common Name is existing practice, it is deprecated and
Certification Authorities are encouraged to use the dNSName instead.

Переведу выделенное:

Несмотря на то, что использование Common Name - это существующая практика, она устарела и
центрам сертификации рекомендуется использовать dNSName.

Пруфы:

https://groups.google.com/a/chromium.org/forum/#!topic/security-dev/IGT2fLJrAeo
https://www.chromestatus.com/feature/4981025180483584
https://groups.google.com/a/chromium.org/forum/#!topic/security-dev/IGT2fLJrAeo

Нет этапа гнобления самоподписанных сертификатов. Мы все не умрем. Заговора шпионов тоже нет. Просто все приходит в полное соответствие с давно уже разработанным документом.

PS. По второй ссылке добрым словом упомянута также и FireFox.

Пользуясь моментом, хочу передать привет друзьям, которые также пользуются "Моментом"

»

.

Автор Anarchist, дата создания 19 июня, 2017 - 11:57.
Tzar написал(а):
На самом деле, здесь поводов возмущаться нет. И так сделать было давно пора.

С учётом практики лоббирования (покупки) желаемых стандартов опускать развёрнутое объяснение причин правильности предписания, как и доказательства теоремы про «давно пора» всё же не следовало.

Да и ссылка на сам RFC2818 интереснее обсуждений.

ЗЫ: Про метасимволы оттуда же:

   Matching is performed using the matching rules specified by
   [RFC2459].  If more than one identity of a given type is present in
   the certificate (e.g., more than one dNSName name, a match in any one
   of the set is considered acceptable.) Names may contain the wildcard
   character * which is considered to match any single domain name
   component or component fragment. E.g., *.a.com matches foo.a.com but
   not bar.foo.a.com. f*.com matches foo.com but not bar.com.

:wq
--
Live free or die

»

.

Автор Anarchist, дата создания 30 июня, 2017 - 16:00.
Tzar написал(а):
Переведу выделенное:

Несмотря на то, что использование Common Name - это существующая практика, она устарела и
центрам сертификации рекомендуется использовать dNSName.

Порывшись в журналах припомнилась вторая часть задачи:
С какой версии Индейца отучили ругаться в журнал в ситуации, когда значение CommonName используемого сертификата не соответствует рег.выру доменного имени?

:wq
--
Live free or die

»

Настройки просмотра комментариев

Выберите нужный метод показа комментариев и нажмите "Сохранить установки".