[MASOCH-L] RES: Sobre funcionamento do Apache Httpd
MARLON BORBA
MBORBA at trf3.gov.br
Tue Jan 30 15:36:21 -03 2007
tecnicamente o CN pode conter mais de um "hostname", PORÉM do ponto de vista das normas da ICP-Brasil não dá. exemplo da política de certificados da AC-CERTISIGN-JUSTIÇA:
"O conteúdo do DN apresenta-se da seguinte forma para os certificados de equipamento Servidores:
C=BR
O=ICP-Brasil
OU=Autoridade Certificadora da Justiça * AC-JUS
PC A1 da AC CERTISIGN v2.0 27/30
OU=Cert-JUS Equipamento Servidor - <Tipo de Certificado>
OU=<Orgão onde o servidor está Instalado>
OU=<nome da Unidade Organizacional responsável pelo equipamento>
CN=<nome DNS (Domain Name Service) oficial do equipamento (para servidores www)>
No formato acima, os caracteres “<” e “>” delimitam campos que são substituídos pelos seus respectivos valores; os “<” e “>” não são incluídos.
Em certificados onde o titular for pessoa física os campos “Orgão onde o servidor está Instalado” e “nome da Unidade Organizacional responsável pelo equipamento” não são incluídos."
note que a política usa o termo equipamento no singular e a sintaxe deixa claro que o campo não é repetível.
Abraços,
Marlon Borba, CISSP
Técnico Judiciário - Segurança da Informação
TRF 3ª Região
(11) 3012-1683
--
1997-2007 - Dez Anos da DSUP.
Conhecimento Gerando Soluções.
--
>>> danton at inexo.com.br 30/1/2007 14:28:14 >>>
On Tue, 30 Jan 2007, MARLON BORBA wrote:
> acontece que o "hostname" visto pelo usuário (e que oferece o serviço
> seguro) deve corresponder ao CN do certificado, mesmo que haja um "load
> balancer", um "cluster" ou um "whadahell" por trás. se você expuser
> serviços com "hostnames" diferentes cada um tem de ser protegido por um
> certificado. é isso a que o danton se refere, suponho eu.
EXATAMENTE, com a ressalva de que um certificado pode permitir mais de um
hostname. (vide openssl)
no meu entender praticamente servidor = hostname. mesmo que sejam várias
máquinas espalhadas pelo planeta endereçadas em anycast ou outro truque
qualquer.
__
masoch-l list
https://eng.registro.br/mailman/listinfo/masoch-l
More information about the masoch-l
mailing list