[10] dNSName は、 GeneralName の一種で、
インターネットのドメイン名を表します。
[12] DNS-ID とは、型 dNSName の subjectAltName
エントリーをいいます >>11。
[6] IDN をAラベルに変換してから蓄積しなければなりません。
すなわち、 IDNA2003 ToASCII 演算を
UseSTD3ASCIIRules フラグあり、 AllowUnassigned
フラグなしで適用した結果を蓄積しなければなりません >>4。
[16] BR に従う CA は FQDN (ワイルドカードFQDNを含む。) を指定した SAN を証明書に含めなければなりません >>14。
[15] BR に従う CA は、2016年10月1日までに内部名を SAN
dNSName に指定した証明書を全廃することになっています >>14。
[19] EV証明書ではドメイン名を含めなければなりません >>17。 ワイルドカード証明書は認められていません >>17。
[13] 要件と処理方法については service identity も参照。
[7] 大文字・小文字不区別で比較しなければなりません >>4。
[9] 表示前に IDN を Uラベルに変換するべきです。すなわち、
IDNA2003 ToUnicode 演算を UseSTD3ASCIIRules
フラグあり、 AllowUnassigned フラグなしで適用した結果を使うべきです。
>>4
When the subjectAltName extension contains a domain name system
label, the domain name MUST be stored in the dNSName (an IA5String).
The name MUST be in the "preferred name syntax", as specified by
Section 3.5 of [RFC1034] and as modified by Section 2.1 of
[RFC1123]. Note that while uppercase and lowercase letters are
allowed in domain names, no significance is attached to the case. In
addition, while the string " " is a legal domain name, subjectAltName
extensions with a dNSName of " " MUST NOT be used. Finally, the use
of the DNS representation for Internet mail addresses
(subscriber.example.com instead of subscriber@example.com) MUST NOT
be used; such identities are to be encoded as rfc822Name.
the semantics of subject alternative names that include
wildcard characters (e.g., as a placeholder for a set of names) are
not addressed by this specification. Applications with specific
requirements MAY use such names, but they must define the semantics.
DNS name restrictions are expressed as host.example.com. Any DNS
name that can be constructed by simply adding zero or more labels to
the left-hand side of the name satisfies the name constraint. For
example, www.host.example.com would satisfy the constraint but
host1.example.com would not.