X. 509 Sind alle Teile von DN optional?
Sind alle Teile der DN in einem X. 509 optional?
Von RFC3280:
Implementierungen dieser Spezifikation MUSS bereit sein, zu erhalten
die folgenden standard-Attribut-Typen im Emittentin und vorbehaltlich
(Abschnitt 4.1.2.6) Namen:* country, * organization, * organizational-unit, * distinguished name qualifier, * state or province name, * common name (e.g., "Susan Housley"), and * serial number.
Konnte ich nicht finden, wenn diese zwingend vorgeschrieben ist.
Ich Frage, weil ich da ein Zertifikat von einer vertrauten CA signiert, sondern des Emittenten Bereich der CN
fehlt (und die C
aber ich glaube nicht, dass das wichtig).
Ich hatte erwartet, dass CN
ist obligatorisch. Ist es?
Gibt es irgendwelche Auswirkungen auf die Sicherheit, den Wegfall derCN
vom Emittenten Bereich?
Du musst angemeldet sein, um einen Kommentar abzugeben.
Als @Bruno sagt, es gibt keine Vorschrift in RFC3280 für einen Aussteller-DN, um eine CN.
RFC3280 Staaten:
Jedoch RFC3280 macht keinen Anspruch auf die RDN(s) sollten vorhanden sein. Die meisten CAs beinhalten eine CN in der Issuer DN, aber einige nicht, wie diese Equifax CA.
Oder das Verisign-CA.
Pfad Gebäude und Validierung mithilfe von RFC3280 nicht erforderlich, eine CN in der Issuer-DN.
CN
des Emittenten sowieDer RFC sagt, dass der name des Themas vorhanden sein können in der Subject Alternative Name Erweiterung. Abschnitt 4.2.1.7 sagt Folgendes (was muss in Ihrem Fall):
Issuer
Feld, dasOU
(3 verschiedeneOU
Wert-Paare) und eineO
.Firefox gibt eine Warnmeldung, dassOwner: This website does not supply ownership information
. So hat diese Warnung zu bedeuten, dass es tatsächlich ein problem mit derCN
hier? Was sind die Auswirkungen auf die Sicherheit?Subject
Feld des Zertifikats. DieSubject
Feld hat eineCN
und es ist der domain-name der Website (die gleichen wie ich sehe in der URL-Leiste). Es ist dieIssuer
Feld, das nicht über eineCN
(und ich nehme an, dass ist der Sinn der Warnung in firefox). Ändert sich dadurch deine Letzte Bemerkung? Oder bin ich missundestanding Ihre Antwort?Owner: This website does not supply ownership information
, es ist gefüllt mit C, O und ein paar andere (aber nicht OU, glaube ich) mit EV-CERT. Die Firefox-Benutzeroberfläche kann ziemlich verwirrend sein in dieser Hinsicht. Auchhttps://www.google.com/
hat. Im Gegensatz zu dem Thema, das Feld issuer, MUSS eine nicht-leere distinguished name (DN)., aber das bedeutet nicht, es muss ein CN RDN.CN
desIssuer
nicht vermitteln alle wichtigen Informationen?X509-Zertifikaten sollten vergleichen Sie die ganzen dn. Das ist
Jede Komponente ist optional, Sie kann wiederholt werden. Aber ein match verlangt, dass alle Felder übereinstimmen.
Vom ietf rfc5280