如果我为IDN域颁发了SSL证书,我是否应该期望CN字段中的值是域名的文字UTF-8字符串,或者是转义的punycode版本?
那些X509v3主题备用名称DNS条目,那些格式是否相同?
我可以看一些示例crt文件,还是链接到使用SSL的IDN?
这是否有规范性规范?
假设您谈论的是 HTTPS,传统上用于主机名验证的规则是在RFC 2818 第 3.1 节中定义的,其中根本没有提及国际化域名。
最近,编写了“最佳实践”RFC RFC 6125,以协调跨协议的主机名验证过程并澄清许多其他要点。以下是有关 IDN 的内容(第 6.4.2 节):
Run Code Online (Sandbox Code Playgroud)If the DNS domain name portion of a reference identifier is an internationalized domain name, then an implementation MUST convert any U-labels [IDNA-DEFS] in the domain name to A-labels before checking the domain name. In accordance with [IDNA-PROTO], A-labels MUST be compared as case-insensitive ASCII. Each label MUST match in order for the domain names to be considered to match, except as supplemented by the rule about checking of wildcard labels (Section 6.4.3; but see also Section 7.2 regarding wildcards in internationalized domain names).
不幸的是,这在实践中可能对您没有帮助。首先,RFC 6125 相对较新,据我所知,很少有应用程序或库声称实现了它。其次,并非所有库都严格遵守 RFC 2818(例如,浏览器有时可以更宽容地接受哪些 CN)。
| 归档时间: |
|
| 查看次数: |
590 次 |
| 最近记录: |