¿Se requiere que tenga el mismo nombre de dominio y nombre común para el certificado SSL?

Navega tus respuestas
7

Tengo un certificado SSL en el que CN es " abc.xyz.com ". Pero la url compartida con una organización de terceros para acceder a una aplicación web en nuestro servidor es: " def.stu.com/what-ever ".

Cuando este acuerdo funciona para una organización de terceros desde hace mucho tiempo, una nueva organización que intenta acceder a la URL está obteniendo una excepción de SSL. Según ellos, la URL debe estar en línea con el nombre común. Algo como: abc.xyz.com/what-ever.

Pregunta:

¿Es realmente obligatorio tener una URL como esta abc.xyz.com/what-ever? En caso afirmativo, ¿de qué manera otros integradores pudieron llamarlo correctamente hasta ahora?

Nota: la mayoría de las búsquedas en Internet aceptan el punto en que la URL debe basarse en el nombre común. Luego también descubrí que podemos tener varios nombres de dominio bajo un concepto de Nombre común (Nombre alternativo del sujeto [SAN]). Pero no donde tengo una imagen clara. ¿Puedo usar cualquier herramienta y verificar si el certificado está usando SAN? Soy del equipo de desarrollo con conocimientos limitados sobre seguridad. Apreciaré realmente el comportamiento concreto de SSL Cert o algún indicador hacia él.

    
pregunta Dexter 19.12.2017 - 15:16
fuente

3 respuestas

7

Su navegador web requerirá que el nombre del host en la URL coincida con el contenido del certificado.

Primero debe verificar la lista de nombres de sujetos alternativos (si la extensión está presente) para ver si alguna de las entradas coincide o, si no hay una extensión SAN, el campo de nombre común del sujeto.     

respondido por el Stephane 19.12.2017 - 15:31
fuente
12

El dominio de la URL debe coincidir con el asunto del certificado. Anteriormente, esto podría ser ya sea estableciendo el dominio como CN del certificado o estableciendo el dominio como un nombre alternativo de sujeto. El soporte para CN estuvo en desuso durante mucho tiempo (al menos 17 años, consulte RFC 2818) y el navegador Chrome ya ni siquiera mirará el CN, por lo que hoy necesita tener el dominio de la URL como nombre alternativo del sujeto. Tenga en cuenta que puede haber varios nombres alternativos de sujeto y, por lo tanto, el certificado se puede utilizar para varios dominios.

    
respondido por el Steffen Ullrich 19.12.2017 - 15:34
fuente
0
  

Según ellos, la URL debe estar en línea con el nombre común. Algo como: abc.xyz.com/what-ever .

Están equivocados. El nombre distinguido usado en un certificado SSL / TLS es solo un nombre de host. Nunca incluye el componente de ruta de una URL; un certificado que incluya ese texto en un CN no sería válido.

    
respondido por el duskwuff 20.12.2017 - 00:50
fuente

Lea otras preguntas en las etiquetas

¿Cómo recuperar el certificado EFS de la copia de seguridad? Código de ejemplo de cruce de directorio