Sto cercando di capire il significato dell'estensione del Nome alternativo soggetto. Il motivo del suo uso nei certificati SSL X.509 o altri certificati di entità finali è per lo più chiaro per me.
Tuttavia, non ho trovato alcuna informazione sul fatto che sia possibile o meno utilizzare questa estensione nei certificati CA (autofirmati o meno). È possibile in generale? Quale può essere la ragione se sì?
Il nome soggetto, in un certificato, si trova nel campo subjectDN , che è un Nome distinto : un nome di struttura il cui obiettivo iniziale era quello di servire come indice nella gerarchia di Directory (la Directory non è mai esistito nella pratica, ma può essere immaginato come un gigantesco server LDAP in tutto il mondo).
A volte, ci sono alcuni usi che richiedono nozioni di identità che non si adattano bene (o del tutto) al formato di un DN. Ad esempio, se un certificato deve essere utilizzato per S / MIME , allora è opportuno codificare gli indirizzi e-mail in certificati, e il modo standard per farlo è attraverso un'estensione del nome alt soggetto.
Di norma, ciò che conta è ciò che le applicazioni faranno. È possibile inserire un'estensione del nome alt soggetto con contenuti arbitrari in un certificato CA. Tuttavia, è in gran parte inutile poiché i certificati CA devono essere elaborati dalle applicazioni che convalidano le catene di certificati: queste applicazioni ignoreranno l'estensione SAN in un certificato CA. Per riassumere brevemente: la nozione di identità utilizzata dai certificati CA è quella necessaria per costruire e convalidare le catene di certificati e che utilizza il DN (dai campi subjectDN e issuerDN ). Pertanto, le estensioni SAN non sono utili per i certificati CA.
(Beh, soprattutto. In teoria, potresti utilizzare le estensioni Limitazioni dei nomi che applicano restrizioni i certificati successivi nella catena, inclusi i certificati CA, e questi vincoli tengono in considerazione la SAN. Tuttavia, i vincoli dei nomi, sebbene standard, risentono della mancanza di supporto dalle solite librerie, quindi in pratica nessuno li usa.)
(Ancora teoricamente, per gli standard è permesso avere un subjectDN vuoto, nel qual caso deve essere presente un'estensione SAN e contenere un nome di tipo directoryName , cioè un DN, e quel DN sarà usato come se fosse stato trovato nel campo subjectDN Lo scopo di questo punto specifico non è chiaro, immagino che sia stato incluso per placare il senso estetico di qualche membro del comitato, da qualche parte.)
Forse sto fraintendendo la domanda, ma uno dei motivi più comuni con cui si usa un certificato SAN è per i siti che hanno un CNAME o un alias.
Ad esempio:
Se un utente accede al link ma il certificato viene rilasciato a www.example.com, l'utente riceverà un avviso di mancata corrispondenza del nome.
Se viene utilizzato un certificato SAN, entrambi i domini possono essere specificati come validi e l'utente non riceverà un avviso.
Leggi altre domande sui tag public-key-infrastructure x.509