Re: implement subject alternative names support for SSL connections
В списке pgsql-hackers по дате отправления:
| От | Heikki Linnakangas |
|---|---|
| Тема | Re: implement subject alternative names support for SSL connections |
| Дата | |
| Msg-id | 5416E6F1.3080907@vmware.com обсуждение исходный текст |
| Ответ на | Re: implement subject alternative names support for SSL connections (Alexey Klyukin <alexk@hintbits.com>) |
| Список | pgsql-hackers |
On 09/15/2014 01:44 PM, Alexey Klyukin wrote: >>> Committed, with that change, ie. the CN is not checked if SANs are present. > > Actually, I disagree with the way the patch ignores the CN. Currently, > it skips the > CN unconditionally if the SubjectAltName section is present. But what > RFC 6125 says > is: > > "If a subjectAltName extension of type dNSName is present, that MUST > be used as the identity. Otherwise, the (most specific) Common Name > field in the Subject field of the certificate MUST be used." > > This means that we have to check that at least one dNSName resource is > present before > rejecting to examine the CN. Attached is a one-liner (excluding > comments) that fixes this. Ok, good catch. Fixed. - Heikki
В списке pgsql-hackers по дате отправления:
Сайт использует файлы cookie для корректной работы и повышения удобства. Нажимая кнопку «Принять» или продолжая пользоваться сайтом, вы соглашаетесь на их использование в соответствии с Политикой в отношении обработки cookie ООО «ППГ», в том числе на передачу данных из файлов cookie сторонним статистическим и рекламным службам. Вы можете управлять настройками cookie через параметры вашего браузера