HTTPS verifica che il dominio nell'URL richiesto corrisponda al nome comune del certificato SSL?

3

Ho notato che aziende come cloudflare o wordpress.com sembrano offrire una sorta di certificato SSL di "terze parti" ai propri clienti e, quando visualizzano i certificati dei siti Web che utilizzano questi servizi, Common name corrisponde spesso a cloudflare , sucuri, automattic ecc. e non al nome di dominio dell'url richiesto. ecco un esempio di schermata

Questo sembra indicare che il browser (in questo caso chrome Version 59.0 ) non lo controlla. Il protocollo TLS richiede che il dominio / nome host richiesto corrisponda al nome comune sul certificato della chiave pubblica?

    
posta the_velour_fog 18.06.2017 - 07:24
fonte

1 risposta

2

Controlla che il nome DNS corrisponda al certificato, tuttavia convalida anche se il nome del dominio si trova nel campo del nome alternativo.

Se scarichi il certificato SSL per www.seedprod.com , troverai:

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Se lo metti in un file seedprod.crt, puoi usare openssl per visualizzare i dati completi nel certificato con openssl x509 -in seedprod.crt -text .

Quindi vedrai:

X509v3 Subject Alternative Name:

DNS:ssl378094.cloudflaressl.com, DNS:*.braveeaglewealthmanagement.com, DNS:*.comingsoonpage.com, DNS:*.comologia.com, DNS:*.dinofurs.com, DNS:*.epikchat.com, DNS:*.heatpressnation.com, DNS:*.ivanti.com.au, DNS:*.ivanti.cz, DNS:*.ivanti.de, DNS:*.ivanti.es, DNS:*.ivanti.fr, DNS:*.ivanti.it, DNS:*.ivanti.pl, DNS:*.mtapay2.com, DNS:*.paulhowelldesign.com, DNS:*.scproperties.com.au, DNS:*.seedprod.com, DNS:*.theartofadvice.com, DNS:braveeaglewealthmanagement.com, DNS:comingsoonpage.com, DNS:comologia.com, DNS:dinofurs.com, DNS:epikchat.com, DNS:heatpressnation.com, DNS:ivanti.com.au, DNS:ivanti.cz, DNS:ivanti.de, DNS:ivanti.es, DNS:ivanti.fr, DNS:ivanti.it, DNS:ivanti.pl, DNS:mtapay2.com, DNS:paulhowelldesign.com, DNS:scproperties.com.au, DNS:seedprod.com, DNS:theartofadvice.com

Nota DNS:*.seedprod.com e DNS:seedprod.com sono lì, quindi il certificato è valido per seedprod.com .

    
risposta data 18.06.2017 - 07:42
fonte

Leggi altre domande sui tag