In che modo una CA aggiunge www e nomi di dominio grezzi al mio cert quando il mio CSR non li ha?

0

Sono in procinto di acquistare un certificato SSL, e sono confuso da questa parte: molte CA affermano che aggiungeranno www. al tuo dominio, così ad es. se acquisti un cert di dominio singolo app.example.com , aggiungeranno anche www.app.example.com come nome di dominio corrispondente nel tuo certificato.

Un esempio correlato è che se acquisti un certificato jolly, ad esempio *.example.com , alcune CA affermano anche che ti daranno un certificato che copre example.com (so che se il tuo CN ha solo *.example.com , non corrisponderà a example.com ).

In entrambi i casi, sembrano solo chiedermi di specificare un CN - app.example.com o *.example.com .

Il che mi fa meravigliare: come aggiungono la parte www. ( www.app.example.com per app.example.com ) o la parte di dominio nuda ( example.com per *.example.com ) quando mi rilasciano il certificato?

Inoltre, quando creiamo un certificato autofirmato, possiamo usare anche la stessa tecnica? Se è così, c'è qualche esempio che usa OpenSSL per farlo? So già come creare un certificato autofirmato e fare in modo che i tuoi utenti si fidino del tuo "certificato CA di root in-house", quindi sono curioso di sapere cosa serve per aggiungere ulteriori CN (o è il campo subjectAltName ?) al tuo CSR o al certificato di fine pubblicazione.

    
posta lukhnos 28.01.2014 - 20:23
fonte

1 risposta

4

La CA mette esattamente ciò che desidera inserire nel certificato che emette. La richiesta di certificato che si invia non pone alcun vincolo sulla CA. La richiesta di certificato è solo una nave per la tua chiave pubblica e, possibilmente, ulteriori informazioni che potrebbero desiderare per trovare nel certificato risultante, come ad esempio un nome specifico del server. La CA è libera, sia dal punto di vista tecnico che legale, di ignorare o modificare tali informazioni come meglio crede.

    
risposta data 28.01.2014 - 20:26
fonte

Leggi altre domande sui tag