È necessario avere lo stesso nome di dominio e nome comune per il certificato SSL?

7

Ho un certificato SSL in cui CN è " abc.xyz.com ". Tuttavia, l'URL condiviso a un'organizzazione di terze parti per accedere a un'app Web sul nostro server è: " def.stu.com/what-ever ".

Quando questo accordo funziona per alcune organizzazioni di terze parti da molto tempo, una nuova organizzazione che tenta di accedere all'URL sta ricevendo l'eccezione SSL. Secondo loro, l'URL deve essere in linea con Common Name. Qualcosa come: abc.xyz.com/what-ever.

Domanda:

È davvero obbligatorio avere un URL come questo abc.xyz.com/what-ever? In caso affermativo, in che modo l'altro integratore è riuscito a chiamarlo con successo fino ad ora?

Nota: la maggior parte della ricerca su internet concorda sul fatto che l'URL dovrebbe essere basato sul nome comune. Poi ho anche scoperto che, possiamo avere più nomi di dominio sotto un nome comune (concetto di Nome alternativo soggetto [SAN]). Ma no, dove ho avuto una visione chiara. Posso usare qualsiasi strumento e controllare, se il certificato sta usando SAN. Vengo dal team Dev con conoscenze limitate sulla sicurezza. Apprezzeremo davvero un approccio concreto al citato comportamento di SSL Cert o qualche puntatore ad esso.

    
posta Dexter 19.12.2017 - 15:16
fonte

3 risposte

8

Il tuo browser web richiede il nome host nell'URL per corrispondere a ciò che è presente nel certificato.

Dovrebbe controllare prima la lista dei nomi dei soggetti alternativi (se l'estensione è presente) per vedere se una delle voci è matura o, se non ci sono estensioni SAN, il campo del nome comune del soggetto.

    
risposta data 19.12.2017 - 15:31
fonte
12

Il dominio dell'URL deve corrispondere all'oggetto del certificato. In passato questo poteva essere sia impostando il dominio come CN del certificato o avendo il dominio impostato come nome alternativo del soggetto. Il supporto per CN è stato deprecato per un lungo periodo (almeno 17 anni, vedi RFC 2818) e il browser Chrome non guarderà più il CN, quindi oggi è necessario avere il dominio dell'URL come nome alternativo del soggetto. Tieni presente che possono esserci più nomi alternativi di soggetti e quindi il certificato può essere utilizzato per più domini.

    
risposta data 19.12.2017 - 15:34
fonte
0

According to them, the URL must be in line with Common Name. Something like: abc.xyz.com/what-ever.

Si sbagliano. Il nome distinto utilizzato in un certificato SSL / TLS è solo un nome host. Non include mai il componente di percorso di un URL: un certificato che includeva quel testo in un CN non sarebbe valido.

    
risposta data 20.12.2017 - 00:50
fonte

Leggi altre domande sui tag