-
Notifications
You must be signed in to change notification settings - Fork 4
/
343.txt
75 lines (54 loc) · 3.21 KB
/
343.txt
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
[1] [DFN[[[subjectAltName]]]]
* 仕様書
[REFS[
- [3] [CITE@en[RFC 5280 - Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile]] ([TIME[2015-02-22 15:44:10 +09:00]] 版) <http://tools.ietf.org/html/rfc5280#section-4.2>
-- [2] '''[CITE@en[RFC 2459 - Internet X.509 Public Key Infrastructure Certificate and CRL Profile]]
([TIME[2014-12-22 14:13:43 +09:00]] 版)
<http://tools.ietf.org/html/rfc2459#section-4.2.1.6>'''
]REFS]
* 構文
[6] 値は、 [CODE[[[GeneralNames]]]] です [SRC[>>2]]。
* 適合性
[4] [[CA]] は [[SAN]] に対応しなければ[['''なりません''']] [SRC[>>3]]。
[5] [[応用]]は [[SAN]] を認識しなければ[['''なりません''']] [SRC[>>3]]。
[FIG(quote)[
[FIGCAPTION[
[7] [CITE@en[RFC 6125 - Representation and Verification of Domain-Based Application Service Identity within Internet Public Key Infrastructure Using X.509 (PKIX) Certificates in the Context of Transport Layer Security (TLS)]]
([TIME[2015-03-13 22:27:53 +09:00]] 版)
<https://tools.ietf.org/html/rfc6125#section-1.8>
]FIGCAPTION]
> subjectAltName entry: An identifier placed in a subjectAltName
> extension.
> subjectAltName extension: A standard PKIX certificate extension
> '''['''PKIX''']''' enabling identifiers of various types to be bound to the
> certificate subject -- in addition to, or in place of, identifiers
> that may be embedded within or provided as a certificate's subject
> field.
]FIG]
[FIG(quote)[
[FIGCAPTION[
[8] [CITE[ネームベースの VirtualHost で SSL/TLS (5) - TenForwardの日記]]
([TIME[2015-03-20 18:29:13 +09:00]] 版)
<http://d.hatena.ne.jp/defiant/20080123/1201083050>
]FIGCAPTION]
> IPアドレスでアクセスするので,以下のように subjectAltName も "IP" を指定してやってみました.これだと Firefox2 だと問題なく全てのアドレスでアクセス出来ましたが,IE6 と Opera9 だと,証明書内の名前とアクセスしようとしているサーバ名が違う,というような警告が出ます.
]FIG]
[FIG(quote)[
[FIGCAPTION[
[9] [CITE@ja[自堕落な技術者の日記 : 小ネタ:FireFoxとIEでのIPアドレスのSubjectAltName dNSNameの扱いの違い - livedoor Blog(ブログ)]]
([TIME[2015-03-25 01:10:46 +09:00]] 版)
<http://blog.livedoor.jp/k_urushima/archives/1638629.html>
]FIGCAPTION]
> 某IPアドレスで書かれたサイトにHTTPSでアクセスしてみると うむむ、FireFox 3.6.23だと 信頼できない接続のアラートが、、、
> IE8だと問題ありません。
> んなアホな。 うむむと思ってSSLサーバー証明書を見てみると
> SubjectAltNameのGeneralName値が
> dNSName: 192.168.1.5
> みたいにDNS NameのところにIPアドレスが 書いてある証明書のせいみたいなんです。
]FIG]
[10] [CITE@en[369112 – With HTTPS, the Subject Common Name gets ignored if subjectAltName extension is present.]]
([TIME[2015-03-25 01:12:44 +09:00]] 版)
<https://bugzilla.mozilla.org/show_bug.cgi?id=369112>
[11] [CITE@en[553749 – mozilla.org sites should use an SSL certificate with a subjectAltName]]
([TIME[2015-04-02 12:19:01 +09:00]] 版)
<https://bugzilla.mozilla.org/show_bug.cgi?id=553749>