Недавно мы начали создавать сертификаты с subjectAltName в дополнение к использованию CN для идентификации сервера, и я заметил проблему с распознаванием CN в браузерах.
в нашем случае
если я пытаюсь получить доступ к сайту через CN, браузер жалуется, что сертификат содержит ошибки.
Использование SAN работает нормально.
Я проверил это дальше и RFC 6125в разделе 6.4.4 говорится:
Как отмечалось, клиент НЕ ДОЛЖЕН искать совпадение для ссылочного идентификатора CN-ID, если представленные идентификаторы включают в себя DNS-ID, SRV-ID, URI-ID или любые типы идентификаторов для конкретного приложения, поддерживаемые клиентом. Следовательно, если и только если представленные идентификаторы не включают в себя DNS-ID, SRV-ID, URI-ID или любые типы идентификаторов для конкретного приложения, поддерживаемые клиентом, тогда клиент МОЖЕТ в крайнем случае проверить строку, чья форма совпадает с формой полного имени домена DNS в поле Common Name поля темы (т. е. CN-ID).
На основании этого я пришел к выводу, что CN и SAN -
Это верно?
Изменить: я понимаю, что это зависит от браузера, я ищу руководство по современным браузерам (IE11, Edge, Chrome, Firefox и т. Д.)
«Хотя использование общего имени является существующей практикой, оно не рекомендуется, и сертификационным центрам рекомендуется использовать вместо него dNSName». RFC 2818
И даже RFC 6125 содержит следующее.
«Откажитесь от включения и проверки строк, которые выглядят как доменные имена в Common Name субъекта». RFC 6125, гл. 1.5
Использование CN для имен DNS недопустимо и не распознается современными браузерами, такими как Chrome, начиная с версии 57.
Вам следует переместить все DNS-имена в раздел subjectAltName сертификата.