dNSName

dNSName (PKI)

[10] dNSName は、 GeneralName の一種で、 インターネットドメイン名を表します。

[12] DNS-ID とは、型 dNSNamesubjectAltName エントリーをいいます >>11

仕様書

構文

[5] 値は、 IA5String です。

[6] IDNAラベルに変換してから蓄積しなければなりません。 すなわち、 IDNA2003 ToASCII 演算UseSTD3ASCIIRules フラグあり、 AllowUnassigned フラグなしで適用した結果を蓄積しなければなりません >>4

[16] BR に従う CAFQDN (ワイルドカードFQDNを含む。) を指定した SAN証明書に含めなければなりません >>14

[15] BR に従う CA は、2016年10月1日までに内部名SAN dNSName に指定した証明書を全廃することになっています >>14

[19] EV証明書ではドメイン名を含めなければなりません >>17ワイルドカード証明書は認められていません >>17

文脈

[13] 要件と処理方法については service identity も参照。

[18] EV では必須です >>17

比較

[7] 大文字・小文字不区別で比較しなければなりません >>4

[8] 比較対象も比較前に >>6 の通り Aラベルに変換する必要があります。

レンダリング

[9] 表示前に IDNUラベルに変換するべきです。すなわち、 IDNA2003 ToUnicode 演算UseSTD3ASCIIRules フラグあり、 AllowUnassigned フラグなしで適用した結果を使うべきです。 >>4

関連

[20] CN-IDSAN

メモ

[1] RFC 5280 - Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile ( 版) http://tools.ietf.org/html/rfc5280#section-4.2.1.6

When the subjectAltName extension contains a domain name system

label, the domain name MUST be stored in the dNSName (an IA5String).

The name MUST be in the "preferred name syntax", as specified by

Section 3.5 of [RFC1034] and as modified by Section 2.1 of

[RFC1123]. Note that while uppercase and lowercase letters are

allowed in domain names, no significance is attached to the case. In

addition, while the string " " is a legal domain name, subjectAltName

extensions with a dNSName of " " MUST NOT be used. Finally, the use

of the DNS representation for Internet mail addresses

(subscriber.example.com instead of subscriber@example.com) MUST NOT

be used; such identities are to be encoded as rfc822Name.

[2] RFC 5280 - Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile ( 版) http://tools.ietf.org/html/rfc5280#section-4.2.1.6

the semantics of subject alternative names that include

wildcard characters (e.g., as a placeholder for a set of names) are

not addressed by this specification. Applications with specific

requirements MAY use such names, but they must define the semantics.

[3] RFC 5280 - Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile ( 版) http://tools.ietf.org/html/rfc5280#section-4.2.1.10

DNS name restrictions are expressed as host.example.com. Any DNS

name that can be constructed by simply adding zero or more labels to

the left-hand side of the name satisfies the name constraint. For

example, www.host.example.com would satisfy the constraint but

host1.example.com would not.