IDN ドメインの SSL 証明書が発行された場合、CN フィールドの値は、ドメイン名のリテラル UTF-8 文字列またはエスケープされた punycode バージョンである必要がありますか?
X509v3 Subject Alternative Name DNS エントリについてはどうですか?それらは同じ形式になりますか?
サンプルの crt ファイルや、SSL を使用している IDN へのリンクを確認できますか?
これに関する規範的な仕様はありますか?
HTTPSについて話していると仮定すると、ホスト名の検証に従来から使用されているルールは、RFC 2818のセクション3.1で定義されており、国際化ドメイン名についてはまったく触れられていません。
最近では、「ベストプラクティス」のRFCであるRFC 6125が作成され、プロトコル間でホスト名の検証手順を調和させ、他の多くの点を明確にしています。IDN(セクション6.4.2)については次のようになっています。
If the DNS domain name portion of a reference identifier is an internationalized domain name, then an implementation MUST convert any U-labels [IDNA-DEFS] in the domain name to A-labels before checking the domain name. In accordance with [IDNA-PROTO], A-labels MUST be compared as case-insensitive ASCII. Each label MUST match in order for the domain names to be considered to match, except as supplemented by the rule about checking of wildcard labels (Section 6.4.3; but see also Section 7.2 regarding wildcards in internationalized domain names).
残念ながら、これは実際には役に立たない場合があります。まず、RFC 6125は比較的最近のものであり、私が知る限り、RFC6125を実装すると主張するアプリケーションやライブラリはほとんどありません。第二に、すべてのライブラリがとにかくRFC 2818に準拠しているわけではありません(たとえば、ブラウザは、どのCNが受け入れられるかに関してより寛容な場合があります)。