La convalida X.509 è nominalmente disgiunta dai nomi di dominio. X.509 è stato progettato nel contesto di La directory , una bestia mitica che può essere pensato come una grande directory LDAP mondiale che fa riferimento a tutti i server sulla Terra e altrove. (Storicamente, è andato nell'altro senso: LDAP è Lightweight Directory Access Protocol , una versione ridotta del protocollo che intendeva accedere alla Directory.)
Nella Directory, le entità sono designate dal loro Distinguished Name , una struttura ad albero che non ha alcuna relazione con i nomi di dominio (anche se alcune persone ne hanno forzato una nell'altra con componenti DN "DC" ).
Nella versione X.509 vera, il proprietario di un certificato, collegato a un nome di dominio, che agisce come CA subordinata per i propri sottodomini è teoricamente possibile , ma richiede l'uso del Name Constraints
estensione, che è standard , ma quasi universalmente non supportato. L'idea sarebbe di emettere un certificato contenente il nome example.com
, contrassegnato come CA (estensione Basic Constraints
con cA
impostato su TRUE
) e% estensioneName Constraints
con una "sottostruttura consentita" di valore .example.com
(questo dovrebbe vincolare ulteriori certificati ai nomi degli host sportivi, e questi nomi possono essere solo nei sottodomini di example.com
). È un'idea chiara, ma non riesce a causa della mancanza di supporto da parte dei browser. Quindi l'effetto netto, se una CA rilascia un certificato con questo tipo di dominio su un dominio, sarà uno dei due seguenti:
- Il browser client rifiuta il certificato.
- Il browser client accetta il certificato, ma lo avrebbe accettato anche se non fosse un sottodominio appropriato.
I produttori di browser non sono entusiasti di implementare questa funzione perché sarebbe inutile fino a quando la CA commerciale non la utilizzerà, e la CA commerciale non la utilizzerà finché non verrà implementata dai browser. Inoltre, le CA commerciali tendono a preferirlo se acquisti più certificati da loro anziché solo uno.
Per riassumere, questa è una triste storia di X.500 persone che non vanno d'accordo con le persone IP / DNS, ei browser che non implementano le funzionalità necessarie per far funzionare il tutto. È improbabile che le cose cambino nel prossimo futuro.