我即将为一个小型网站购买 SSL 证书。输入“www.domain Name.com”或“domainName.com”作为常用名是最佳做法吗?
确保您使用subjectAltName
字段,并包含您要使用的主机名的所有变体,或者如果您不确定所有变体是什么,则包含通配符。通用名称 (CN) 仅用作备份。看RFC 2818 https://www.rfc-editor.org/rfc/rfc2818#section-3.1更多细节:
###3.1。服务器身份
一般来说,HTTP/TLS 请求是通过取消引用 URI 生成的。
因此,客户端知道服务器的主机名。
如果主机名可用,客户端必须根据主机名进行检查
服务器的证书消息中显示的服务器身份,
以防止中间人攻击。
如果客户有关于预期身份的外部信息
服务器,主机名检查可以省略。 (例如,一个
客户端可能正在连接到地址和主机名为
动态的,但客户端知道服务器将要使用的证书
)在这种情况下,缩小范围很重要
尽可能多地接受可接受的证书,以防止人为
中间的攻击。在特殊情况下,可能适合
客户端可以简单地忽略服务器的身份,但它必须是
了解这会使连接容易受到主动攻击。
如果存在 dNSName 类型的 subjectAltName 扩展,则必须
被用作身份。否则,(最具体的)通用名称
必须使用证书的主题字段中的字段。虽然
使用通用名称是现有做法,已被弃用并且
鼓励证书颁发机构改用 dNSName。
使用指定的匹配规则进行匹配
[RFC2459]。如果给定类型的多个标识存在于
证书(例如,多个 dNSName 名称、任何一个中的匹配项)
该集合被认为是可接受的。)名称可以包含通配符
字符 * 被认为匹配任何单个域名
组件或组件片段。例如。,*.a.com
火柴foo.a.com
但
不是bar.foo.a.com
. f*.com
火柴foo.com
但不是bar.com
.
在某些情况下,URI 被指定为 IP 地址而不是
主机名。在这种情况下,iPAddress subjectAltName 必须存在
位于证书中,并且必须与 URI 中的 IP 完全匹配。
如果主机名与证书中的身份不匹配,则用户
面向客户端必须通知用户(客户端可以给出
在任何情况下用户都有机会继续连接)或
因证书错误错误而终止连接。自动化
客户端必须将错误记录到适当的审核日志(如果可用)
并且应该终止连接(带有错误的证书错误)。
自动化客户端可以提供禁用的配置设置
此检查,但必须提供启用它的设置。
请注意,在许多情况下,URI 本身来自不受信任的
来源。上述检查不能提供针对以下情况的保护:
攻击该来源受到损害的地方。例如,如果 URI 是
通过点击本身获得的 HTML 页面获得
如果不使用 HTTP/TLS,中间人可以替换
URI。为了防止这种形式的攻击,用户应该小心
检查服务器提供的证书以确定它是否
满足他们的期望。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)