L'ordine soggetto nome alternativo ha importanza per i certificati TLS?

1

Mi sono imbattuto in un problema oggi e sono interessato a scoprire se il comportamento visto è standard o non standard.

Abbiamo diversi server esposti attraverso un servizio di bilanciamento del carico che serve richieste https. Questi server utilizzano i certificati TLS con tre voci Nome alternativo soggetto.

Ad esempio:

  1. myservice.mycompany.int
  2. dc1.myservice.int
  3. dc2.myservice.int

Abbiamo ricostruito uno dei server e un nuovo certificato è stato distribuito su quel server. Le voci Nome soggetto soggetto sul nuovo certificato avevano le stesse voci mostrate sopra ma in un ordine diverso.

Abbiamo avuto un sistema client che ha avuto problemi dopo che questo server è entrato nel servizio di bilanciamento del carico in cui stava generando i seguenti errori:

Caused by: javax.net.ssl.SSLHandshakeException: server certificate change is restricted during renegotiation

Quindi sono giunto alla conclusione che ciò era dovuto all'ordine delle voci SAN quando una rinegoziazione della sessione SSL veniva eseguita dal sistema client e otteneva un certificato con le voci SAN in un ordine diverso.

L'ordine delle voci SAN dovrebbe essere significativo quando si determina se un certificato è equivalente ai fini della rinegoziazione TLS?

    
posta conorgriffin 18.09.2016 - 15:50
fonte

1 risposta

4

L'ordine dei nomi alternativi dei soggetti non è importante. Ciò di cui il cliente si lamenta è una modifica del certificato durante la rinegoziazione all'interno di una sessione SSL esistente. Non importa quale sia il cambiamento, cioè è sufficiente che il numero di serie sia stato cambiato.

A parte questo potrebbe essere un bug nel client. Vedi Che cosa significa "javax.net.ssl.SSLHandshakeException: la modifica del certificato del server è limitata durante la rinegoziazione" e come prevenirla? dove la risposta indica un bug in Java7 e Java8 introdotto durante il tentativo di mitigare POODLE . Secondo questo post il bug è stato corretto in Java 7u85 e 8u60.

    
risposta data 18.09.2016 - 16:01
fonte

Leggi altre domande sui tag