[ Home | Liste | F.A.Q. | Risorse | Cerca... ]


[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]


Archivio: Marzo 2009 ml@sikurezza.org
Soggetto: Re: [ml] certificati ssl e gandi
Mittente: Marco Ermini
Data: Mon, 23 Mar 2009 13:41:30 +0100 (CET)
2009/3/19 MC:
>>> puoi anche mettere come CN *.domain.com, questo crea un certificato che
>>> viene accettato per tutti gli host del dominio.
>
> Attenzione: il subject di un certificato deve essere un DN x500; il subject
> alternative name puo', tra le altre cose, riportare un DNSName composto in
> base a quanto stabilito nell'RFC1034 nella quale si specifica che le label
> devono essere create utilizzando i 52 caratteri alfabetici e i 10 numerici
> (A-Z, a-z, 0-9).
[...]

2009/3/22 MC:
>>> puoi anche mettere come CN *.domain.com
[...]
> Non c'è SAN e il certificate è accettato correttamente da IE8 e Opera 9.x.
> Non ho provato Firefox, ma credo non ci siano problemi. In questo caso, non
> essendoci un DNSname definito nel SAN, il browser non dovrebbe effettuare il
> controllo per il match tra quanto digitato nella barra degli indirizzi e
> quanto riportato nel certificato ed è per questo non si genera il classico
> warning sul browser.

Non è corretto. Ri-posto perché un admin un po' troppo "zelante" ha
censurato un mio messaggio precedente che spiegava come funziona.

Leggo l'RFC 2818. Dice che SE è presente il subjectAltName, questo
deve essere utilizzato per identificare il nome di dominio. E
"Matching is performed using the matching rules specified by RFC2459".
Che significa:

"Names may contain the wildcard character * which is considered to
match any single domain name component or component fragment. E.g.,
*.a.com matches foo.a.com but not bar.foo.a.com. f*.com matches
foo.com but not bar.com."

Quindi esiste il matching per wildcard ANCHE nel subjectAltName -
ancora, LEGGERE BENE l'RFC!!!!

Se invece NON è presente il subjectAltName, si utilizza il "vecchio"
campo CN. Ed anche qua i wildcard sono ammessi da RFC.

In questo tuo secondo caso (*.issa.org), il browser effettua il
matching sul CN. Quindi non visualizza il warning NON perché non c'è
un subjectAltName, ma perché il wildcard è stato specificato in modo
corretto nel certificato.  Se per esempio si cercasse di utilizzare il
certificato anche per www.thirdlevel.issa.org, qualsiasi browser ti
visualizzerebbe il warning (anche senza subjectAltName).


Cordiali saluti
-- 
Marco Ermini
root@human # mount -t life -o ro /dev/dna /genetic/research
http://www.linkedin.com/in/marcoermini
"Jesus saves... but Buddha makes incremental back-ups!"
Sent from: Düsseldorf Nordrhein-Westfalen Germany.




[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005