Estoy realmente confundido sobre el país, el estado y la ciudad que debo seleccionar al enviar un certificado SSL. ¿Debo proporcionar la ubicación de mis servidores o la dirección actual de mi casa?
Siempre puedo volver a emitir un certificado, pero ¿esto puede causar problemas en el futuro?
Esto puede parecer una pregunta trivial, pero no pude encontrar ninguna información.
En términos generales, en la solicitud del certificado, estos valores no importan. Lo que importa es lo que aparece en el certificado resultante, y el contenido del certificado será elegido por la CA, no por usted. La solicitud de certificado es un barco para transmitir su clave pública a la AC; esa solicitud utiliza un formato (normalmente PKCS # 10 ) que incluye un espacio de "nombre de sujeto", pero este campo debe ser entendido como, en el mejor de los casos, una sugerencia cortés a la AC.
La CA, al recibir la solicitud, debe asegurarse de que proviene de un cliente autenticado (por ejemplo, la solicitud se envía a través de una interfaz basada en web con autenticación del cliente) y llenará el certificado con los valores que caracterizan a ese cliente autenticado. De acuerdo con la política de certificación de CA. El CA podría le permite especificar algunos de los campos a través de la solicitud, pero la mayoría simplemente ignorará el nombre en la solicitud. Saben que viene de usted, y pondrán su nombre.
Si la CA realmente le permite elegir el país, el estado y la ciudad en el certificado (ya sea especificándolos en la solicitud o a través de alguna otra configuración fuera de solicitud), la intención es que esta información califica a la organización propietaria del certificado (por ejemplo, el país, el estado y la ciudad donde eligió colocar la sede de su empresa). En cualquier caso, los navegadores web no validarán ninguno de estos valores y no se los mostrarán al usuario (excepto a los usuarios que hagan clic en dos o tres botones de "mostrarme los detalles" sucesivamente). En resumen, los valores realmente no importan, pero no quiere poner nada demasiado vergonzoso aquí porque algunas personas curiosas y curiosas podrían realmente echarles un vistazo.
El CA / Browser Forum Baseline Requirements (PDF) especifica que estos campos en el Asunto del certificado deben llenarse de acuerdo con la validación de la identidad y la dirección del solicitante por parte de la CA. Esta validación se realizará con un documento o información proporcionada por:
- Una agencia gubernamental en la jurisdicción de la creación, existencia o reconocimiento legal del Solicitante;
- Una base de datos de terceros que se actualiza periódicamente y se considera una fuente de datos confiable;
- Una visita al sitio por parte de la CA o un tercero que actúa como agente de la CA; o
- Una carta de certificación.
Por lo tanto, los campos de país, estado y localidad deben ser la dirección legal del solicitante del certificado.
Pero desde un punto de vista práctico, la mayoría de las veces no tiene que especificar los valores en la solicitud de certificado enviada a la CA ya que la CA los agregará automáticamente en el Asunto del certificado de acuerdo con el resultado de la identidad / dirección validación.
Debes proporcionar la información de la compañía (la dirección postal es la ubicación del HQ) o tu propia información si eres un individuo.
La verdad es que, para un certificado DV (validación de dominio) emitido automáticamente, nadie lo va a comprobar y todo lo que realmente importa es que el CN (nombre común) coincida con el nombre de host del servidor para el que está obteniendo el certificado. .
La información requerida es información sobre el propietario del dominio y no tiene nada que ver con la ubicación del servidor. Esto es similar al registrante en DNS. Esto significa que si posee el dominio como individuo, no hay organización.
Lea otras preguntas en las etiquetas cryptography tls certificates certificate-authority