¿Los certificados SSL / X.509 cubren todos los puertos para un host?

En teoría, puedes poner todo lo que quieras en un certificado; por ejemplo, este certificado en realidad contiene un archivo de video como "Nombre alternativo del sujeto" (sorprendentemente, Windows no tiene problemas para decodificar un certificado de 1.2 MB, pero lamentablemente no muestra el video). Sin embargo, en la práctica, los certificados "para SSL" solo contienen el nombre del servidor deseado , como se especifica en RFC 2818 . El cliente (navegador web) verificará que el nombre de la URL aparezca en el certificado. No hay un estándar para almacenar un número de puerto en el certificado, y ningún cliente verificará la presencia de ese número de puerto de todos modos, por lo que, en pocas palabras, los certificados no son específicos del puerto. La noción de "identidad" que los certificados manipulan y encarnan no incluye la noción de "puerto".

Parece que importa si necesita la huella digital de un certificado y obtiene hashes diferentes cuando se usa en puertos diferentes y necesita usar SSL en ambos. No estoy muy seguro de por qué esto es así, pero con el período de vigencia de los certificados de 90 días sigo teniendo que actualizar mi configuración de fetchmail hasta que descubra cómo obtenerla para verificar la cadena completa de confianza.

rich@mars:~$ echo | openssl s_client -connect subdomain.example.net:993 -showcerts | openssl x509 -fingerprint -noout -md5
depth=1 C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3
verify error:num=20:unable to get local issuer certificate
verify return:0
DONE
MD5 Fingerprint=D6:2F:CD:EF:D3:26:5A:B5:15:24:E5:55:1F:99:B8:B9
rich@mars:~$ echo | openssl s_client -connect subdomain.example.net:443 -showcerts | openssl x509 -fingerprint -noout -md5
depth=1 C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3
verify error:num=20:unable to get local issuer certificate
verify return:0
DONE
MD5 Fingerprint=7C:3B:53:41:55:43:F7:B6:F5:BE:C9:8F:E3:CD:BD:A1