Tengo un dispositivo NAS privado. Utiliza un certificado SSL autofirmado. Puedo importar el certificado a Firefox y todo funciona siempre que acceda al dispositivo desde algún lugar de Internet. La validación y el cifrado de SSL están funcionando.
Ahora, si intento acceder al dispositivo a través de mi LAN, recibo un error de firefox: ssl_error_bad_certificate_domain
. Esto sucede porque accedo al dispositivo con su dirección IP local y no con la dirección web DDNS.
Puedo agregar la dirección IP a la lista de Nombres alternativos del sujeto en el Certificado, si es estático, para resolver el problema. Consideremos el problema, cuando no puedo hacerlo estático, pero tiene que mantenerse dinámico.
Leí en RFC 2818 que
Si el cliente tiene información externa sobre la identidad esperada del servidor, la verificación del nombre de host PUEDE omitirse. (Por ejemplo, un cliente puede conectarse a una máquina cuya dirección y nombre de host son dinámicos, pero el cliente conoce el certificado que presentará el servidor).
Sé exactamente que este certificado es el correcto. Entonces, si el servidor puede identificarse con la clave privada, todo está bien. Pero, ¿cómo puedo saber si Firefox comprueba el certificado incluso si falla la comprobación del nombre de host?