I certificati SSL / X.509 coprono tutte le porte per un host?

In teoria puoi mettere tutto ciò che vuoi in un certificato; ad esempio, questo certificato contiene in realtà un file video come "Subject Alt Name" (sorprendentemente, Windows non ha problemi a decodificare un certificato da 1.2 MB - ma non mostra il video, ahimè). Tuttavia, in pratica, i certificati "per SSL" contengono solo il nome del server previsto , come specificato in RFC 2818 . Il client (browser Web) verificherà che il nome dall'URL appaia effettivamente dove dovrebbe nel certificato. Non esiste uno standard per la memorizzazione di un numero di porta nel certificato e nessun client verificherà comunque la presenza di quel numero di porta, quindi, in parole povere: i certificati non sono specifici della porta. La nozione di "identità" che i certificati manipolano e incarnano non include la nozione di "porta".

Sembra importare se hai bisogno dell'impronta digitale di un certificato e ottieni diversi hash dove sono usati su porte diverse e devi usare SSL su entrambi. Non sono del tutto sicuro del motivo, ma con una vita di certificato di 90 giorni continuo a dover applicare la patch alla mia configurazione fetchmail fino a quando non capisco come ottenerlo per verificare l'intera catena di fiducia.

rich@mars:~$ echo | openssl s_client -connect subdomain.example.net:993 -showcerts | openssl x509 -fingerprint -noout -md5
depth=1 C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3
verify error:num=20:unable to get local issuer certificate
verify return:0
DONE
MD5 Fingerprint=D6:2F:CD:EF:D3:26:5A:B5:15:24:E5:55:1F:99:B8:B9
rich@mars:~$ echo | openssl s_client -connect subdomain.example.net:443 -showcerts | openssl x509 -fingerprint -noout -md5
depth=1 C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3
verify error:num=20:unable to get local issuer certificate
verify return:0
DONE
MD5 Fingerprint=7C:3B:53:41:55:43:F7:B6:F5:BE:C9:8F:E3:CD:BD:A1