主机和域的TLOFRIFICES必须以某种方式识别它们&#39的Whathostname(或名称);重新。从历史上看,已经扭动了这一点。第一种方式是证书和#39的缺陷子字段,CN或Commonmame; Soverall主题名称。这有问题是它只能占用一个名字。当人们开始想要拥有TLS认证时,他们发明了另一个机制,主题替代名称(SAN)扩展。
作为一个实际问题,所有想要顶部验证TLS证书的含糊不清的软件都支持(通常是首选)主题替代名称。野外的许多TLS证书都是多个主机和它'它通常不太可能,你和#39;重新连接到系统选择普到CN字段的一个名称;只支持CN的软件无法验证Thosetls证书。由于时间问题,SAN的自2002年以来一直theoreticallymandatory和只的SAN已自2011年theoreticallyrequired(这意味着,自2011年或更早,在CN wassupposed始终是SAN的一个)。
这些天,对查看TLS CertificateCommonname验证TLS证书的任何剩余支持是越来越多的(除了我开始编写本期时的方式)越来越多的(而不是我的预期)。在浏览器领域中,Chrome显然将其截止,在2017年发布,并在Chrome 65中再次出去选择它(来自我的旧条目的Reviceon,这在Chrome之前很快就搞乱了)。据说Firefox在2016年8月开始,在第48号版本中,Safariappartich在iOS 13和Macos 10.15中查看了Commonmame,我相信2019年底。这更改也会在2019年谈论浏览器删除浏览器('去年' 2020年中期的变化)。
在非浏览器TLS代码中,通过默认IGO 1.15开始忽略CN(2020年8月发布),这将是从这里开始的1.17(2021年8月份发布)。自从事件不再支持CN,我假设NSS没有,因为NSS基本上是Firefox' S潜在的TLS实现。我不知道其他TLS图书馆正在做什么,但我会期待许多人他们将支持普通名称才能到期; TLSLibraries在历史上落后于浏览器实践。希望在2011年要求审视SAN的情况下,他们所有人都在遭到审视时(他们应该始终在公共证书中)。
可能TLS证书将继续包含很长一段时间的Commonmame Fields。在一般的iscommon中有一个主题名称(尽管实际上没有实际要求),CN是一个主题名称的标准(虽然不是必需的),所以你也会抛弃它。甚至Mozilla和Let'加密(仍然)具有CNS的TLS证书。然而,由于我现在检查了这个,所以当前的CA /浏览器论坛BaselIneRequiredseCeed(1.7.3)允许and' t需要commonname(第7.1.4.2.2节,这表明它' s'气馁,但不禁止')。鉴于大多数证书机构的人员,我希望他们使用Commonmame字段欺骗TLS证书,直到它们'重新要求停止。
(有兴趣的方可以扫描证书透明度日志,看看If是否有很多发布证书,没有CNS。可能有一定是官方的;某人必须在一定程度上通过官方CAS尝试。)
ps:no-common-name.badssl.comhas没有cn的tls证书,或者至少是它的tls证书,或者应该是(via)的,但TLS证书现在已经到期,因为我写这个Entryso它' s难以测试客户端软件的行为方式。另请参阅,这将我指向no -subject.labs.nl,它具有当前有效的TLS证书,根本没有主题名称。