• はてなブックマーク
  • テクノロジー
  • HTTPS 証明書の Common Name の検証がしれっと禁止されていた件について | IIJ Engineers Blog
  • Twitterでシェア
  • Facebookでシェア

HTTPS 証明書の Common Name の検証がしれっと禁止されていた件について | IIJ Engineers Blog

テクノロジー カテゴリーの変更を依頼 記事元:eng-blog.iij.ad.jp
適切な情報に変更
313 usersがブックマーク コメント39

    記事へのコメント39

    • 注目コメント
    • 新着コメント
    hnw
    hnw Common Nameが正だと思いこんでたけどRFC2818の時点でdeprecatedだったのか(3周遅れマン)。しかしCommon Nameって言ったほうが通りが良くありません?

    2022/09/05 リンク

    その他
    cocelo
    cocelo Web界隈に精通してるIoTや組み込みやってる人は大抵SANも設定してるから大丈夫だろうけど、官公庁案件だとヤバい要件だったりするので2,3年後あたりに火を吹くプロジェクトがありそう…

    2022/09/05 リンク

    その他
    tinsep19
    tinsep19 これはSubjectからCN消す布石だったりする?

    2022/09/05 リンク

    その他
    manFromTomorrow
    manFromTomorrow これ最近ハマったやつ。最近のChromeはSANじゃない自己証明書なんかはHSTSで蹴られてアクセスできない。Forefoxとかなら強行突破できるけど。

    2022/09/05 リンク

    その他
    defiant
    defiant 証明書のCNで検証するのは禁止、SANで検証しろということになっているようです。

    2022/09/05 リンク

    その他
    nikoli
    nikoli ある内部用認証局の仕様が、CN=SANであってもCSRでSANを入れておかないと発行された証明書にもSANは入らない、というもので、知らずにブラウザでエラーになって悩んだのを思い出した。

    2022/09/06 リンク

    その他
    n2s
    n2s このへん2017年に調べてたのを→https://twitter.com/themeofn/status/887812858041450496

    2022/09/05 リンク

    その他
    honma200
    honma200 これが欧米なのか決まったからーって変えるよね。Microsoftとは大違い。すげぇなぁ。これでCommon Nameを見ないってなったからって何か大きくこまるのかな。証明書なんて毎年更新でSAN入ってるのが普通の印象

    2022/09/05 リンク

    その他
    tetsutalow
    tetsutalow AltNameのdNSNameが優先になって久しくはあるのだけど、気がついたらCommon Nameが禁止されてた件…いろいろ更新しないとなぁ

    2022/09/05 リンク

    その他
    takopons
    takopons SSL/TLS関連の話。Common Nameの検証が非推奨から禁止になったらしい。今後はSANの検証が推奨から必須になるのかな。

    2022/09/05 リンク

    その他
    skomma
    skomma Kubernetes の Mutating Webhook に使う証明書もこれの煽りを受けていたのか…

    2023/04/18 リンク

    その他
    t_yamo
    t_yamo CNだけで証明書作ってた人はSAN値チェック。

    2022/09/06 リンク

    その他
    kujira_aoi_blue
    kujira_aoi_blue クライアントのほう検証、、検証の方。禁止。https, ssl, subject cn, common name, san,

    2022/09/06 リンク

    その他
    buzztaiki
    buzztaiki しらんかった。

    2022/09/06 リンク

    その他
    nikoli
    nikoli ある内部用認証局の仕様が、CN=SANであってもCSRでSANを入れておかないと発行された証明書にもSANは入らない、というもので、知らずにブラウザでエラーになって悩んだのを思い出した。

    2022/09/06 リンク

    その他
    kmiya_bbm
    kmiya_bbm 知らなんだ。Common NameではなくSANを検証しなきゃいけないんですね。

    2022/09/06 リンク

    その他
    fmn10
    fmn10 へーへーへー

    2022/09/06 リンク

    その他
    internetkun
    internetkun 3桁のRFCとか普通にあるんだし5桁になって困るような実装があるわけないでしょ

    2022/09/06 リンク

    その他
    aito-htsy
    aito-htsy CNでなくてSANを見るだと…知らんかった…

    2022/09/06 リンク

    その他
    rryu
    rryu なぜ禁止なのか理由は明確ではないが、しきりに単純比較はダメと書いてあるので、単純比較が前提のCommon Nameを流用するのではなくドメインの比較が前提の専用の属性を使うべしという感じっぽい。

    2022/09/06 リンク

    その他
    honma200
    honma200 これが欧米なのか決まったからーって変えるよね。Microsoftとは大違い。すげぇなぁ。これでCommon Nameを見ないってなったからって何か大きくこまるのかな。証明書なんて毎年更新でSAN入ってるのが普通の印象

    2022/09/05 リンク

    その他
    momontyo
    momontyo へー。って思いながら証明書見てた。

    2022/09/05 リンク

    その他
    dltlt
    dltlt グローバルサインのSAN解説記事を読んで、「フーン」と思ってサーバ証明書をみたらSANの中身が凄いことになっていた……

    2022/09/05 リンク

    その他
    n2s
    n2s このへん2017年に調べてたのを→https://twitter.com/themeofn/status/887812858041450496

    2022/09/05 リンク

    その他
    mezamashi0540
    mezamashi0540 openssl.cnfをいじってたせいでcommonNameが主かと思ってた…

    2022/09/05 リンク

    その他
    shikiarai
    shikiarai ハマる前で助かった

    2022/09/05 リンク

    その他
    defiant
    defiant 証明書のCNで検証するのは禁止、SANで検証しろということになっているようです。

    2022/09/05 リンク

    その他
    IGA-OS
    IGA-OS あれ?macOSってCN無いと証明書を読めない仕様じゃなかった?これとは関係ない?

    2022/09/05 リンク

    その他
    NOV1975
    NOV1975 まあ前から言われてたしな。昔のクライアントはしょうがない。

    2022/09/05 リンク

    その他
    zu2
    zu2 “というわけで、HTTPS クライアントが Common Name を見る動作は RFC9110 で禁止され、完全に廃止されていました。えええ、いつの間に”

    2022/09/05 リンク

    その他
    kenjorop
    kenjorop “Obsoletes”

    2022/09/05 リンク

    その他
    tmtms
    tmtms 知らなかった… / “HTTPS クライアントが Common Name を見る動作は RFC9110 で禁止され、完全に廃止されていました。えええ、いつの間に。これで Common Name を見ているクライアントの動作は RFC 違反ということになります”

    2022/09/05 リンク

    その他
    tagomoris
    tagomoris えー、そうなのか。知らんかった。

    2022/09/05 リンク

    その他
    tinsep19
    tinsep19 これはSubjectからCN消す布石だったりする?

    2022/09/05 リンク

    その他
    tito1201
    tito1201 一般的な手段で発行された証明書だと確認した限りだと問題なさそうだけど、どのようなパターンのときに問題になるんだろうか。自己署名証明書とか?

    2022/09/05 リンク

    その他
    tetsutalow
    tetsutalow AltNameのdNSNameが優先になって久しくはあるのだけど、気がついたらCommon Nameが禁止されてた件…いろいろ更新しないとなぁ

    2022/09/05 リンク

    その他
    cocelo
    cocelo Web界隈に精通してるIoTや組み込みやってる人は大抵SANも設定してるから大丈夫だろうけど、官公庁案件だとヤバい要件だったりするので2,3年後あたりに火を吹くプロジェクトがありそう…

    2022/09/05 リンク

    その他
    takopons
    takopons SSL/TLS関連の話。Common Nameの検証が非推奨から禁止になったらしい。今後はSANの検証が推奨から必須になるのかな。

    2022/09/05 リンク

    その他
    manFromTomorrow
    manFromTomorrow これ最近ハマったやつ。最近のChromeはSANじゃない自己証明書なんかはHSTSで蹴られてアクセスできない。Forefoxとかなら強行突破できるけど。

    2022/09/05 リンク

    その他
    hnw
    hnw Common Nameが正だと思いこんでたけどRFC2818の時点でdeprecatedだったのか(3周遅れマン)。しかしCommon Nameって言ったほうが通りが良くありません?

    2022/09/05 リンク

    その他

    注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

    アプリのスクリーンショット
    いまの話題をアプリでチェック!
    • バナー広告なし
    • ミュート機能あり
    • ダークモード搭載
    アプリをダウンロード

    関連記事

    HTTPS 証明書の Common Name の検証がしれっと禁止されていた件について | IIJ Engineers Blog

    開発・運用の現場から、IIJエンジニア技術的な情報や取り組みについて執筆する公式ブログを運営して...

    ブックマークしたユーザー

    • knjname2023/11/27 knjname
    • techtech05212023/09/08 techtech0521
    • ngyuki2023/08/21 ngyuki
    • nishitki2023/05/16 nishitki
    • nminoru2023/05/15 nminoru
    • b-wind2023/05/15 b-wind
    • skomma2023/04/18 skomma
    • sanko04082022/11/13 sanko0408
    • bayan2022/09/26 bayan
    • T-miura2022/09/23 T-miura
    • m0t0m0t02022/09/22 m0t0m0t0
    • kuracom2022/09/11 kuracom
    • ryshinoz2022/09/11 ryshinoz
    • sakef2022/09/09 sakef
    • gmdualis4792022/09/08 gmdualis479
    • kurouru2022/09/07 kurouru
    • kattsuk22022/09/07 kattsuk2
    • sawarabi01302022/09/06 sawarabi0130
    すべてのユーザーの
    詳細を表示します

    同じサイトの新着

    同じサイトの新着をもっと読む

    いま人気の記事

    いま人気の記事をもっと読む

    いま人気の記事 - テクノロジー

    いま人気の記事 - テクノロジーをもっと読む

    新着記事 - テクノロジー

    新着記事 - テクノロジーをもっと読む

    同時期にブックマークされた記事

    はてなブックマーク

    公式Twitter

    はてなのサービス

    • App Storeからダウンロード
    • Google Playで手に入れよう
    Copyright © 2005-2024 Hatena. All Rights Reserved.