Teprve pokud neexistuje subjaltname se jde do subjectu.
S timhle dobra dnesni zkusenost: v CN jsem mel "sandbox.cz" a v
subjectAltName vyjmenovany vsechny jiny jako "bbs.sandbox.cz" apod.
Firefox zobrazil klasicky varovani, ale s textem, ze lezu na server
"sandbox.cz" a certifikat je vydanej na "sandbox.cz" a jestli tam fakt chci.
Teprve, kdyz jsem "sandbox.cz" pridal i do seznamu v subjectAltName, tak to
slape bez potizi. Maj to podporovat vsechny dnesni browsery.
Takze bacha na ten fallback, kterej neni fallback. :-)
Spousta expertu bez toho, aby si sami provedli nejakou resersi vam bude do
roztrhani tela tvrdit, ze na kazdy virtualni SSL web potrebujete extra IP
adresu. Neprijemna je akorat zmena sady tech registrovanych domenovych jmen
(nutnost vydani noveho certifikatu s jinych seriovym cislem, aby prohlizece
nervaly, ze se CA zblaznila).
Pokud ale CA neni devka prodejna co vyda komukoliv kdo zaplati, tak je
jakas-taks jistota ze se bavite stim s kym mate v umyslu. On ale stejne
kazdy klika accept/ok/budiz jen aby se dostal kam potebuje...
A moje CA neni devka prodejna! Podepisu za pivo.
Stejne je ten dnesni model komercnich CA nejakej divnej...
T.
|
