¿Verifica HTTPS que el dominio en la URL solicitada coincida con el nombre común del certificado SSL?

3

He notado que compañías como cloudflare o wordpress.com parecen ofrecer un tipo de certificado SSL de "terceros" a sus clientes, y al ver los certificados de los sitios web que usan estos servicios, el Common name a menudo corresponde a cloudflare , sucuri, automattic, etc. y no al nombre de dominio de la url solicitada. Aquí hay un ejemplo de captura de pantalla

Esto parece indicar que el navegador (en este caso chrome Version 59.0 ) no lo comprueba. ¿El protocolo TLS requiere que el dominio / nombre de host solicitado tenga que coincidir con el nombre común en el certificado de clave pública?

    
pregunta the_velour_fog 18.06.2017 - 07:24
fuente

1 respuesta

2

Verifica que el nombre DNS coincida con el certificado, sin embargo, también valida si el nombre de dominio está en el campo de nombre alternativo.

Si descarga el certificado SSL para www.seedprod.com , encontrarás:

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Si coloca eso en un archivo seedprod.crt, puede usar openssl para ver los datos completos en el certificado con openssl x509 -in seedprod.crt -text .

Entonces verás:

  

X509v3 Subject Alternative Name:

     

DNS:ssl378094.cloudflaressl.com, DNS:*.braveeaglewealthmanagement.com, DNS:*.comingsoonpage.com, DNS:*.comologia.com, DNS:*.dinofurs.com, DNS:*.epikchat.com, DNS:*.heatpressnation.com, DNS:*.ivanti.com.au, DNS:*.ivanti.cz, DNS:*.ivanti.de, DNS:*.ivanti.es, DNS:*.ivanti.fr, DNS:*.ivanti.it, DNS:*.ivanti.pl, DNS:*.mtapay2.com, DNS:*.paulhowelldesign.com, DNS:*.scproperties.com.au, DNS:*.seedprod.com, DNS:*.theartofadvice.com, DNS:braveeaglewealthmanagement.com, DNS:comingsoonpage.com, DNS:comologia.com, DNS:dinofurs.com, DNS:epikchat.com, DNS:heatpressnation.com, DNS:ivanti.com.au, DNS:ivanti.cz, DNS:ivanti.de, DNS:ivanti.es, DNS:ivanti.fr, DNS:ivanti.it, DNS:ivanti.pl, DNS:mtapay2.com, DNS:paulhowelldesign.com, DNS:scproperties.com.au, DNS:seedprod.com, DNS:theartofadvice.com

Las notas DNS:*.seedprod.com y DNS:seedprod.com están ahí, por lo que el certificado se valida para seedprod.com .

    
respondido por el dr jimbob 18.06.2017 - 07:42
fuente

Lea otras preguntas en las etiquetas