web-dev-qa-db-fra.com

Faut-il avoir le même nom de domaine et le même nom commun pour le certificat SSL?

J'ai un certificat SSL dans lequel CN est "abc.xyz.com". Mais le rl partagé avec une organisation tierce pour accéder à une application web sur notre serveur est: "def.stu.com/what-ever".

Lorsque cet arrangement fonctionne pour une organisation tierce depuis longtemps, une nouvelle organisation essayant d'accéder à l'URL reçoit une exception SSL. Selon eux, l'URL doit correspondre au nom commun. Quelque chose comme: abc.xyz.com/what-ever.

Question:

Est-il vraiment obligatoire d'avoir une URL comme celle-ci abc.xyz.com/what-ever? Si oui, comment les autres intégrateurs ont-ils pu l'appeler avec succès jusqu'à présent?

Remarque: La plupart des recherches sur Internet conviennent que l'URL doit être basée sur le nom commun. Ensuite, j'ai également constaté que nous pouvons avoir plusieurs noms de domaine sous un même nom commun (concept de nom alternatif de sujet [SAN]). Mais pas où j'ai obtenu une image claire. Puis-je utiliser n'importe quel outil et vérifier si le certificat utilise SAN. Je fais partie de l'équipe de développement avec une connaissance limitée de la sécurité. Appréciera vraiment un an concret au comportement mentionné de SSL Cert ou un pointeur vers lui.

8
Dexter

Votre navigateur Web aura besoin du nom d'hôte dans l'URL pour correspondre à ce qui est dans le certificat.

Il doit d'abord vérifier la liste des noms de sujet alternatifs (si l'extension est présente) pour voir si l'une des entrées correspond ou, s'il n'y a pas d'extension SAN, le nom commun du sujet).

10
Stephane

Le domaine de l'URL doit correspondre à l'objet du certificat. Dans le passé, cela pouvait être soit en définissant le domaine comme CN du certificat, soit en définissant le domaine comme un autre nom de sujet. La prise en charge du CN est obsolète depuis longtemps (au moins 17 ans, voir RFC 2818) et Chrome ne regardera même plus le CN, donc aujourd'hui, vous devez avoir le domaine de l'URL comme nom alternatif de sujet. Notez qu'il peut y avoir plusieurs noms alternatifs de sujet et donc le certificat peut être utilisé pour plusieurs domaines.

14
Steffen Ullrich

Selon eux, l'URL doit correspondre au nom commun. Quelque chose comme: abc.xyz.com/what-ever.

Ils ont tort. Le nom unique utilisé dans un certificat SSL/TLS n'est qu'un nom d'hôte. Il n'inclut jamais le composant de chemin d'accès d'une URL - un certificat qui incluait ce texte dans un CN serait invalide.

1
duskwuff -inactive-