5

IDN ドメインの SSL 証明書が発行された場合、CN フィールドの値は、ドメイン名のリテラル UTF-8 文字列またはエスケープされた punycode バージョンである必要がありますか?

X509v3 Subject Alternative Name DNS エントリについてはどうですか?それらは同じ形式になりますか?

サンプルの crt ファイルや、SSL を使用している IDN へのリンクを確認できますか?

これに関する規範的な仕様はありますか?

4

1 に答える 1

1

HTTPSについて話していると仮定すると、ホスト名の検証に従来から使用されているルールは、RFC 2818のセクション3.1で定義されており、国際化ドメイン名についてはまったく触れられていません。

最近では、「ベストプラクティス」のRFCであるRFC 6125が作成され、プロトコル間でホスト名の検証手順を調和させ、他の多くの点を明確にしています。IDN(セクション6.4.2)については次のようになっています。

 If the DNS domain name portion of a reference identifier is an
 internationalized domain name, then an implementation MUST convert
 any U-labels [IDNA-DEFS] in the domain name to A-labels before
 checking the domain name.  In accordance with [IDNA-PROTO], A-labels
 MUST be compared as case-insensitive ASCII.  Each label MUST match in
 order for the domain names to be considered to match, except as
 supplemented by the rule about checking of wildcard labels
 (Section 6.4.3; but see also Section 7.2 regarding wildcards in
 internationalized domain names).

残念ながら、これは実際には役に立たない場合があります。まず、RFC 6125は比較的最近のものであり、私が知る限り、RFC6125を実装すると主張するアプリケーションやライブラリはほとんどありません。第二に、すべてのライブラリがとにかくRFC 2818に準拠しているわけではありません(たとえば、ブラウザは、どのCNが受け入れられるかに関してより寛容な場合があります)。

于 2012-05-30T13:04:03.467 に答える