Per quanto riguarda X.509 , il nome comune non è obbligatorio. Tuttavia, un numero di sistemi utilizzerà il CN per scopi di visualizzazione, ad es. la maggior parte della GUI "certificate manager" in Windows. Pertanto, è consigliabile, se non altro per semplificare le attività di sysadmin, includere il CN ragionevolmente preciso nei certificati.
Se si desidera, da un'applicazione, individuare un certificato specifico, l'identificatore valido da utilizzare è la "identificazione personale", che in realtà è un hash del certificato. Finché la funzione hash è resistente alle collisioni (Microsoft usa SHA-1, che è ancora abbastanza robusto a tale riguardo), non ci saranno due certificati distinti che mostreranno la stessa identificazione personale.
Il metodo "standard X.509" per fare riferimento a un certificato specifico è utilizzare la coppia issuerDN + numero di serie . Solo la combinazione di entrambi i valori è (presumibilmente) unica; i numeri seriali da soli non lo tagliano. Ricorda che sto parlando del nome dell'emittente , non del soggetto ; e questo è l'intero DN, non solo la parte CN di esso. Inoltre, è consentito che un certificato abbia un issuerDN
vuoto purché contenga anche un'estensione Issuer Alt Name
con il DN completo. Ciò significa che l'uso corretto dell'emittente + coppia seriale può essere alquanto complesso. L'identificazione personale è più semplice.