onsdag 2 februari 2011

Ny RFC om server-autentisering vid SSL/TLS

I dagarna kom en mycket intressant RFC som precis nått Proposed Standard RFC inom IETF.

Drakoniskt namn: Representation and Verification of Domain-Based Application Service Identity within Internet Public Key Infrastructure Using X.509 (PKIX) Certificates in the Context of Transport Layer Security (TLS)

Men den specar hur SSL-cert bör se ut och hur server-autentisering med X.509-cert ska gå till.

Tre intressanta saker som är med:
  • Sluta ange domännamn i certifikatets Common Name
  • Börja ange domännamn i subjectAlternativeName dNSName
  • Sluta med joker-certifikat, t ex *.owasp.org
Här länken: http://tools.ietf.org/html/draft-saintandre-tls-server-id-check-14

1 kommentar:

Jakob Schlyter sa...

Om man tycker detta är intressant rekommenderar jag också att man följer arbetet inom arbetsgruppen DANE.