Несколько сертификатов в сообщении «сертификат» TLS «сертификат»

Question

Моя задача - проанализировать имя сервера из сообщений HTTPS. Меня попросили разобрать его из расширений «клиент привет», а также из поля «certicate», «commonname».

В сообщении «сертификат» имеется несколько сертификатов. Например, при открытии google с https и прослушивании этого через wirehark я вижу, что у 2-х сертификатов сначала есть общее имя «* .google.com», а во втором - общее имя «Google Internet Authority». Первый - это имя сервера, с которым я подключил второй, - это полномочия, которые подписали сертификат.

Мой вопрос: могу ли я быть уверенным, что имя сервера (google.com в моем случае) всегда будет в первом сообщении сертификата. Нужно ли мне заботиться о других сертификатах в сообщении сертификата, если я хочу получить только имя сервера.

Answer 1

В самом деле, RFC 2246, 4346 и 5246 (соответственно TLS 1.0, TLS 1.1 и TLS 1.2) все состояния, что сертификат сервера должен быть первым:

«Это последовательность (цепь) сертификатов X.509v3. Сертификат отправителя должен быть первым в списке. Каждый последующий сертификат должен непосредственно сертифицировать тот, который предшествует ему ».

Было также ясно, в SSL 3.0:

"certificate_list: Это последовательность (цепь) X.509.v3
сертификаты, заказал с сертификатом отправителя первым последующим
путем любые сертификаты органа сертификации, действующие последовательно
вверх. "

Но в реальном мире существует множество неправильно сконфигурированных серверов, отправляющих сертификаты в любом порядке, поэтому вам придется их переупорядочить, извините.