Ho un proxy inverso che si connette a un'applicazione che presenta un certificato utilizzato per la convalida basata su PKI. Mi chiedevo se dovessi applicare la condizione che il nome comune (o subjectAltName) nel certificato corrisponda al nome host associato al client. La RFC 6125 in questione dice:
If the hostname does not match the identity in the certificate, user oriented
clients MUST either notify the user (clients MAY give the user the opportunity to
continue with the connection in any case) or terminate the connection with a bad
certificate error. Automated clients MUST log the error to an appropriate audit
log (if available) and SHOULD terminate the connection (with a bad certificate
error). Automated clients MAY provide a configuration setting that disables
this check, but MUST provide a setting which enables it.
Per lo scenario del proxy inverso, la connessione lato server è un "client automatizzato" o un "client orientato all'utente"?