PKI SubjectAlternativeName количество записей спецификация

Question

Я хотел бы знать, сколько различных SubjectAlternativeNames может иметь сертификат и где эта спецификация публикуется.

Почему? Поскольку FireFox распознает только первые пять записей в SubjectAlternativeName, и у нас есть сертификат, который подхватывает множество распространенных ошибок на одном из наших сайтов, все из которых имеют записи DNS, указывающие на правильный домен.

Мы не хотим подгонять этот сертификат.

Answer 1

Вы уверены, что

FireFox распознает только первые пять записей в SubjectAlternativeName

, потому что если вы идете в this page, он имеет много записей в SubjectAlternativeName и она отлично работает. Firefox не жалуется, даже если URL-адрес не находится в первых пяти записях, и когда вы выбираете данные сертификата, он отображает все записи правильно. Я должен упомянуть, что я использую версию 50.1.0 (но я тестировал в версии 49.0.2).

Другой пример сертификата с шестью записями можно найти here (поскольку предыдущий имеет элементы подстановки).

Answer 2

Вы правы. По-видимому, я ранее принимал постоянное исключение на сайт, который я посещал, и этот сертификат, используемый для тестирования, имел только пять SubAtlNames. Я очистил исключение, и в надлежащем сертификате теперь перечислены все ожидаемые альтернативные имена.