Recentemente, começamos a criar certificados com subjectAltName, além de usar o CN para identificação do servidor e notei um problema com o reconhecimento do CN nos navegadores
no nosso caso
- CN = > www.example.com
- SAN = > www.machinename.com
se eu tentar acessar o site usando o CN, o navegador reclama que o certificado tem erros.
O uso da SAN funciona bem.
Eu verifiquei mais sobre isso e RFC 6125 , seção 6.4.4 afirma -
Como observado, um cliente NÃO DEVE buscar uma correspondência para um identificador de referência de CN-ID se os identificadores apresentados incluírem um ID DNS, ID SRV, ID URI ou qualquer tipo de identificador específico de aplicativo suportado pelo cliente.
Portanto, se e somente se os identificadores apresentados não incluírem um ID de DNS, ID de SRV, ID de URI ou qualquer tipo de identificador específico de aplicativo suportado pelo cliente, então o cliente PODE, como último recurso, verificar se há uma cadeia cujo form corresponde a um nome de domínio DNS totalmente qualificado em um campo Common Name do campo subject (ou seja, um CN-ID).
Com base nisso, concluí que CN e SAN são -
- não é gratuito e, portanto,
- O CN deve ser sempre um subconjunto da lista fornecida em SAN
Isso está correto?
Edit: Eu entendo que isso é navegador específico, eu estou procurando orientação sobre os navegadores modernos (IE11, Edge, Chrome, Firefox, etc.)