In presenza di "certificati di fiducia" & altri attributi .. quanto è importante questo?
OpenSSL lo implementa ora & Se no, perché OpenSSL non implementa?
Questo è tra client non browser e amp; server.
Quando ti connetti a un server e il server restituisce un certificato valido, allora "conosci" (soggetto ai capricci di PKI) che hai collegato a un server "valido", la cui identità è contenuta nel certificato. Tuttavia, esiste più di un server SSL su questo pianeta. Devi ancora decidere se il server che hai contattato è quello che hai voluto con cui parlare. Questo è ciò che significa il controllo del nome.
Questa è la distinzione tra autenticazione (verifica di chi stai parlando) e autorizzazione (decidere se con chi stai parlando è effettivamente con chi dovresti parlare) . Hai bisogno di entrambi. Se rimuovi il controllo del nome , devi implementare qualche altro meccanismo che permetta al tuo cliente di distinguere tra il vero server e qualche altro server con un altro nome.
È ancora altrettanto importante. Anche se sono Mr.BadHacker, posso ottenere un certificato di fiducia che dice che sono Mr.BadHacker. Se stai cercando di connetterti al tuo ufficio tramite SSH e accetti una connessione sicura a Mr.BadHacker come se fosse il tuo ufficio, allora avrai dei problemi.
La fiducia non significa che il sito è buono, significa semplicemente che sono chi dicono di essere. È completamente privo di significato senza nemmeno controllare chi affermano di essere.
Le altre risposte hanno già detto perché è importante verificare l'identità (nome host).
Per quanto riguarda il come con openssl: le versioni correnti (1.0.1) non hanno i controlli necessari così la maggior parte degli utenti di codice openssl (e spesso sbagliati) o omettono il controllo (anche peggio).
Nella base di codice prevista per la versione 1.1 c'è una funzione x509_check_host che dovrebbe essere migliore di nessun controllo, ma anche la sua implementazione è sbagliata (vedere il ticket OpenSSL n. 3288).
Leggi altre domande sui tag openssl tls vulnerability