X. 509 Sind alle Teile von DN optional?

Sind alle Teile der DN in einem X. 509 optional?

Von RFC3280:

Implementierungen dieser Spezifikation MUSS bereit sein, zu erhalten
die folgenden standard-Attribut-Typen im Emittentin und vorbehaltlich
(Abschnitt 4.1.2.6) Namen:

  * country,
  * organization,
  * organizational-unit,
  * distinguished name qualifier,
  * state or province name,
  * common name (e.g., "Susan Housley"), and
  * serial number.

Konnte ich nicht finden, wenn diese zwingend vorgeschrieben ist.

Ich Frage, weil ich da ein Zertifikat von einer vertrauten CA signiert, sondern des Emittenten Bereich der CN fehlt (und die C aber ich glaube nicht, dass das wichtig).

Ich hatte erwartet, dass CN ist obligatorisch. Ist es?

Gibt es irgendwelche Auswirkungen auf die Sicherheit, den Wegfall derCN vom Emittenten Bereich?

InformationsquelleAutor Cratylus | 2012-04-23
  1. 6

    Als @Bruno sagt, es gibt keine Vorschrift in RFC3280 für einen Aussteller-DN, um eine CN.
    RFC3280 Staaten:

    Den Emittenten Feld MUSS eine nicht-leere distinguished name (DN).

    Jedoch RFC3280 macht keinen Anspruch auf die RDN(s) sollten vorhanden sein. Die meisten CAs beinhalten eine CN in der Issuer DN, aber einige nicht, wie diese Equifax CA.

    OU = Equifax Secure Certificate Authority,O = Equifax,C = US

    Oder das Verisign-CA.

    OU = VeriSign Trust Network,OU = "(c) 1998 VeriSign, Inc. - Für
    authorized use only",OU = Class 3 Public Primary Certification
    Authority - G2,O = "VeriSign, Inc.",C = US

    Pfad Gebäude und Validierung mithilfe von RFC3280 nicht erforderlich, eine CN in der Issuer-DN.

    • Ich finde das allerdings merkwürdig. Ich würde erwarten, dass für eine sehr strenge Verarbeitung man könnte es auch zu Beschränkungen auf der Grundlage der CN des Emittenten sowie
    • Es gibt nichts zu stoppen jemand, eine app zu entwickeln oder die Erstellung eines certificate policy, dass Einschränkungen hinsichtlich der Aussteller-DN für eine bestimmte PKI-community. Jedoch für die Allgemeine Verwendung von Zertifikaten über das internet schauen wir auf RFC3280 und dies ist keine Voraussetzung für ein CN vorhanden sein, in der Issuer-DN.
    InformationsquelleAutor PhilR
  2. 1

    Der RFC sagt, dass der name des Themas vorhanden sein können in der Subject Alternative Name Erweiterung. Abschnitt 4.2.1.7 sagt Folgendes (was muss in Ihrem Fall):

    Weiter, wenn das einzige Thema Identität im Zertifikat enthalten ist
    ein alternativer name form (z.B. E-mail-Adresse), dann die
    subject distinguished name MUSS leer sein     (eine leere Sequenz), und die
    subjectAltName-Erweiterung vorhanden sein MUSS. Wenn Sie das Betreff-Feld
    enthält eine leere Sequenz ist, die subjectAltName-Erweiterung MUß sein
    markiert kritisch.

    • Es gibt kein Subject Alternative Name Erweiterung in das Zertifikat, und es gibt keine Erweiterung als kritisch markiert.Den nur DN vorhanden ist, in der Issuer Feld, das OU (3 verschiedene OU Wert-Paare) und eine O.Firefox gibt eine Warnmeldung, dass Owner: This website does not supply ownership information. So hat diese Warnung zu bedeuten, dass es tatsächlich ein problem mit der CN hier? Was sind die Auswirkungen auf die Sicherheit?
    • Da das Zertifikat nicht beweisen Eigenverantwortung und Authentizität, es kann nicht verwendet werden, die für die ordnungsgemäße Authentifizierung der web-server. Auswirkungen auf die Sicherheit sind, dass, wenn ein solches Zertifikat wird gestohlen, kann installiert werden, um jede web-site. Folglich, solche Zertifikate kann nicht darauf vertraut werden. Für eine Website muss das Zertifikat auch web-host-name oder IP-Adresse in das Zertifikat. Diese ist definiert durch RFC 2818 (ietf.org/rfc/rfc2818.txt) wie in Abschnitt 3.1.
    • Kann sein das ich Sie verloren hier. Das Zertifikat beinhaltet die domain-Namen der Website in der Subject Feld des Zertifikats. Die Subject Feld hat eine CN und es ist der domain-name der Website (die gleichen wie ich sehe in der URL-Leiste). Es ist die Issuer Feld, das nicht über eine CN (und ich nehme an, dass ist der Sinn der Warnung in firefox). Ändert sich dadurch deine Letzte Bemerkung? Oder bin ich missundestanding Ihre Antwort?
    • betonen Sie nicht zu viel über Owner: This website does not supply ownership information, es ist gefüllt mit C, O und ein paar andere (aber nicht OU, glaube ich) mit EV-CERT. Die Firefox-Benutzeroberfläche kann ziemlich verwirrend sein in dieser Hinsicht. Auch https://www.google.com/ hat. Im Gegensatz zu dem Thema, das Feld issuer, MUSS eine nicht-leere distinguished name (DN)., aber das bedeutet nicht, es muss ein CN RDN.
    • Also für die Validierung Zweck der CN des Issuer nicht vermitteln alle wichtigen Informationen?
    • nicht wirklich, es ist einfach eine Namenskonvention. Am Ende des Tages, entweder Sie Vertrauen darauf, dass CA-oder nicht. Aber es ' s genannt, ist eine administrative Angelegenheit. Es ist sicherlich besser, wenn es einen Namen hat, der für Sie sinnvoll ist, sondern ob es mit einem CN nicht von entscheidender Bedeutung.
    • Ich habe deine Frage falsch verstanden (obwohl es um das Subjekt, nicht der Emittentin), und ich würde löschen, wenn die Antwort gab es keine solche umfassende Kommunikation in den Kommentaren. Fühlen Sie sich frei, um downvote :).

    InformationsquelleAutor Eugene Mayevski 'Allied Bits
  3. 0

    X509-Zertifikaten sollten vergleichen Sie die ganzen dn. Das ist

    Dn1 == Dn2

    Zwei distinguished names DN1 und DN2 entsprechen, wenn Sie
    die gleiche Anzahl der RDNs für jede RDN in DN1 gibt es einen passenden
    RDN in DN2 und der passende RDNs erscheinen in der gleichen Reihenfolge in beiden
    DNs.

    Jede Komponente ist optional, Sie kann wiederholt werden. Aber ein match verlangt, dass alle Felder übereinstimmen.

    Vom ietf rfc5280

    InformationsquelleAutor mksteve
Schreibe einen Kommentar