Sono molto confuso riguardo al paese, allo stato e alla città che dovrei selezionare quando invio un certificato SSL. Devo fornire la posizione dei miei server o il mio attuale indirizzo di casa?
Posso sempre riemettere un certificato, ma questo può in qualche modo causare problemi in futuro?
Potrebbe sembrare una domanda banale ma non sono riuscito a trovare alcuna informazione.
In generale, nella richiesta del certificato, questi valori non contano. Ciò che conta è ciò che appare nel certificato che risulta, e il contenuto del certificato sarà scelto dalla CA, non da te. La richiesta di certificato è una nave per trasmettere la tua chiave pubblica alla CA; quella richiesta utilizza un formato (normalmente PKCS # 10 ) che include uno spazio di un "nome soggetto", ma questo campo deve essere inteso come, nel migliore dei casi, un suggerimento educato alla CA.
La CA, una volta ricevuta la richiesta, deve assicurarsi che provenga da un cliente autenticato (ad esempio, la richiesta viene inviata tramite un'interfaccia basata sul Web con l'autenticazione del client) e riempirà il certificato con i valori che caratterizzano tale cliente autenticato , in base alla politica di certificazione della CA. CA potrebbe consentire di specificare alcuni dei campi attraverso la richiesta, ma la maggior parte semplicemente ignorerà il nome nella richiesta. Sanno che viene da te e metteranno il tuo nome.
Se la CA in realtà ti permette di scegliere il paese, lo stato e la città nel certificato (specificandoli nella richiesta, o attraverso qualche altra configurazione fuori richiesta), allora l' intento è che queste informazioni qualificano l'organizzazione proprietaria del certificato (ad esempio il paese, lo stato e la città in cui hai scelto di mettere la sede centrale della tua società). In ogni caso, i browser Web non convalideranno nessuno di questi valori e non li mostreranno all'utente (tranne per gli utenti che fanno clic su due o tre pulsanti "mostra i dettagli" successivamente). Per riassumere, i valori non contano davvero, ma non vuoi mettere qualcosa di troppo imbarazzante qui perché alcune persone curiose e curiose potrebbero effettivamente dare un'occhiata a loro.
Il CA / Browser Baseline Requirements (PDF) specifica che questi campi nell'oggetto del certificato devono essere compilati in conformità con la convalida dell'identità e dell'indirizzo del richiedente da parte della CA. Questa convalida deve essere effettuata con un documento o informazioni fornite da:
- A government agency in the jurisdiction of the Applicant’s legal creation, existence, or recognition;
- A third party database that is periodically updated and considered a Reliable Data Source;
- A site visit by the CA or a third party who is acting as an agent for the CA; or
- An Attestation Letter.
Pertanto, i campi paese, stato e località dovrebbero essere l'indirizzo legale del richiedente il certificato.
Ma da un punto di vista pratico, la maggior parte delle volte non è necessario specificare i valori nella richiesta di certificato inviata alla CA poiché la CA li aggiungerà automaticamente nel Soggetto certificato in base al risultato dell'identità / indirizzo convalida.
Dovresti fornire le informazioni della società (l'indirizzo postale è la sede dell'HQ) o le tue informazioni personali se sei un privato.
La verità è che, per un certificato DV (validazione del dominio) rilasciato automaticamente, nessuno sta andando a controllare e tutto quello che ti interessa davvero è che il CN (nome comune) corrisponde al nome host del server per il quale stai ricevendo il certificato .
Le informazioni richieste sono informazioni sul proprietario del dominio e non hanno nulla a che fare con la posizione del server. Questo è simile al registrante in DNS. Questo significa che se possiedi il dominio come individuo non ci sono organizzazioni.
Leggi altre domande sui tag cryptography tls certificates certificate-authority