IDN의 SSL 인증서에서 CN 및 DNS 필드에 사용할 형식은 무엇입니까?

Question

IDN 도메인에 대한 SSL 인증서를 발급 한 경우 CN 필드의 값을 도메인 이름 또는 탈 암호 된 punycode 버전의 리터럴 UTF-8 문자열로 사용해야합니까?

X509v3 주체 대체 이름 DNS 항목은 같은 형식입니까?

일부 예제 crt 파일을 보거나 SSL을 사용하는 IDN에 연결할 수 있습니까?

여기에 규범적인 사양이 있습니까?

Answer 1

당신이 HTTPS에 대해 말하는 것으로 가정 할 때 호스트 이름 확인에 전통적으로 사용 된 규칙은 국제 도메인 이름을 전혀 언급하지 않은 RFC 2818, Section 3.1에 정의되어 있습니다.

더 최근에는 "우수 사례"RFC 인 RFC 6125가 호스트 이름 확인 절차를 프로토콜 전반에 걸쳐 조화시키고 여러 가지 다른 점을 명확히하기 위해 작성되었습니다. 여기가 IDN (section 6.4.2)에 대해 말씀입니다 :

If the DNS domain name portion of a reference identifier is an 
internationalized domain name, then an implementation MUST convert 
any U-labels [IDNA-DEFS] in the domain name to A-labels before 
checking the domain name. In accordance with [IDNA-PROTO], A-labels 
MUST be compared as case-insensitive ASCII. Each label MUST match in 
order for the domain names to be considered to match, except as 
supplemented by the rule about checking of wildcard labels 
(Section 6.4.3; but see also Section 7.2 regarding wildcards in 
internationalized domain names). 

불행하게도,이 연습에 도움이되지 않을 수도 있습니다. 첫째로, RFC 6125는 상대적으로 최근이며, 알고있는 한 멀리까지 응용 프로그램이나 라이브러리를 구현한다고 주장하는 라이브러리는 거의 없습니다. 두 번째로, 모든 도서관이 어쨌든 RFC 2818을 따르는 것은 아닙니다 (예를 들어 브라우저가 어떤 CN이 수용 가능한지에 대해 더 관대 할 수 있습니다).