我一直在浏览 X.509 RFC,但我在域名匹配约定方面遇到了问题。
域名“www.foo.com”是否应该与 ssl 证书中的“foo.com”和“.foo.com”域名匹配?请注意没有通配符。
有来自 RFC 5280 的第 4.2.1.10 节名称约束的片段,同样的限制适用于 alt 名称扩展。
“DNS 名称限制表示为 host.example.com。任何可以通过简单地在名称左侧添加零个或多个标签来构建的 DNS 名称都满足名称约束。例如,www.host.example。 com 将满足约束,但 host1.example.com 不会。”
不幸的是,如果您有“www.foo.com”的证书,除非您的证书提供者(或 CA)指定,否则它不会自动为“foo.com”工作。以前有同样的问题。检查细则,应将某些内容列为“保护您的 www 和非 www”或联系他们的支持并询问应该如何完成
您从RFC 5280 (第 4.2.1.10 节)引用的部分不是关于客户端在连接到服务器时应验证的内容的主机名匹配,而是关于如果 CA 使用名称约束时允许发布的内容扩大。
您看到的内容过去是特定于协议的,并在RFC 2818(第 3.1 节)中为 HTTPS 定义。
RFC 6125较新,并且在应用程序协议中协调了这一点。(它不一定被广泛实施。)
更具体地说,www.foo.com将不匹配foo.comor .foo.com:
6.4.1. Checking of Traditional Domain Names If the DNS domain name portion of a reference identifier is a "traditional domain name", then matching of the reference identifier against the presented identifier is performed by comparing the set of domain name labels using a case-insensitive ASCII comparison, as clarified by [DNS-CASE] (e.g., "WWW.Example.Com" would be lower-cased to "www.example.com" for comparison purposes). Each label MUST match in order for the names to be considered to match, except as supplemented by the rule about checking of wildcard labels (Section 6.4.3).
通常,如果您希望证书对www.foo.com和有效foo.com,则它需要具有多个主题备用名称(甚至foo.com不在 涵盖范围内*.foo.com)。