在x509证书中应该如何比较主机名?
例如:如果证书已注册*.abcorp.com
,那么www.sales.abcorp.com
这样的网站是否可以对此证书有效?或者只有像sales.abcorp.com
这样的网站在这种情况下才有效?
这个问题是我在脑海中对ssl证书的主机名检查的实现表示怀疑。
Google Chrome与后者相关。即,如果证书的CN字段为*.abcorp.com
,则只有sales.abcorp.com
等网站在该证书下有效,www.sales.abcorp.com
等网站会抛出错误,说明服务器证书与URL不匹配。< / p>
答案 0 :(得分:1)
此类证书称为通配符证书。在wiki阅读通配符证书后,发现只支持单级别的子域匹配。
由于支持www over domain可能会意外支持多个级别的域。 因此,www.sales.abcorp.com等案例不匹配。