Nazwa pospolita (CN) to pole w certyfikacie cyfrowym, które identyfikuje konkretną nazwę domeny lub podmiot, dla którego certyfikat jest wydawany. W przypadku SSL/TLS certyfikaty, zazwyczaj odpowiadają nazwie domeny witryny (np. www.example.com).
Zrozumienie nazwy pospolitej
Nazwa zwyczajowa jest kluczowym elementem który służy jako podstawowy identyfikator posiadacza certyfikatu. Jego cel i zastosowanie różnią się w zależności od typu certyfikatu. Dla , musi dokładnie odpowiadać nazwie domeny witryny. W certyfikatach klienta zawiera imię i nazwisko osoby, podczas gdy certyfikaty podpisywania kodu wyświetlają nazwę organizacji lub dewelopera.
Nowoczesne zastosowanie i SAN
pole. Ta ewolucja rozwiązuje poprzednie ograniczenia i zapewnia lepsze bezpieczeństwo i elastyczność.
Kontekst historyczny
Common Name pierwotnie służył jako jedyny field browser sprawdzany pod kątem walidacji domeny. Stworzyło to ograniczenia, ponieważ certyfikaty mogły zabezpieczyć tylko jedną domenę i nie mogły skutecznie obsługiwać wielu subdomen. Proces był ręczny i często podatny na błędy, szczególnie w przypadku złożonych struktur domen.
Aktualne standardy
Nowoczesne wykorzystanie certyfikatów znacznie ewoluowało. Przeglądarki teraz weryfikują głównie wpisy SAN, co pozwala na zabezpieczenie wielu domen za pomocą jednego certyfikatu. Common Name pozostaje obecny, ale stopniowo jest wycofywany na rzecz SAN. Ta zmiana umożliwia bardziej elastyczne zarządzanie certyfikatami i lepsze praktyki bezpieczeństwa.
Wymagania dotyczące nazw zwyczajowych
Certyfikaty stron internetowych
Twoja nazwa pospolita musi być zgodna ze ścisłymi zasadami formatowania. Musi dokładnie odpowiadać nazwie domeny i zachowywać dopasowanie bez uwzględniania wielkości liter. Prefiksy protokołu, takie jak http:// lub https://, nie są dozwolone, a adresy IP nie powinny być używane w polu Nazwa pospolita. Nazwa musi używać standardowych znaków ASCII, aby zapewnić zgodność we wszystkich systemach.
Przykłady poprawnych i niepoprawnych formatów:
- Poprawny: www.example.com
- Błędny: https://www.example.com
- Nieprawidłowo: Przykładowa strona internetowa
- Certyfikaty osobiste/klienckie
W przypadku indywidualnych certyfikatów, Common Name powinno zawierać imię i nazwisko osoby w ujednoliconym formacie. Dopuszczalne formaty to „FirstName LastName” lub „LastName, FirstName”. Nazwa powinna być zgodna z oficjalną dokumentacją i nie zawierać znaków specjalnych ani cyfr.
Najlepsze praktyki
Konfiguracja domeny
Podczas konfigurowania nazwy wspólnej certyfikatu zawsze używaj w pełni kwalifikowanej nazwy domeny (FQDN) i zapewnij dokładne dopasowanie znak po znaku. Podczas gdy większość systemów nie rozróżnia wielkości liter, zaleca się zachowanie spójnej kapitalizacji dla przejrzystości i celów rozwiązywania problemów.
Certyfikaty wieloznaczne
użyj formatu *.example.com w polu Common Name. Ten format pozwala certyfikatowi na zabezpieczenie subdomen jednopoziomowych w domenie głównej. Ważne jest jednak, aby zrozumieć, że certyfikaty wieloznaczne nie zabezpieczą wielu poziomów subdomen, takich jak sub.sub.example.com.
Typowe problemy i rozwiązania
Niezgodność nazwy certyfikatu
Gdy przeglądarki wyświetlają błędy certyfikatu, problem często wynika z niezgodnej nazwy pospolitej. Sprawdź, czy nazwa Twojej domeny dokładnie odpowiada nazwie pospolitej na certyfikacie. Sprawdź, czy certyfikat jest zainstalowany w prawidłowej domenie i poszukaj błędów w pisowni lub dodatkowych znaków, które mogą powodować niepowodzenia walidacji.
Wymagania dotyczące wielu domen
W przypadku witryn wymagających zabezpieczeń wielu domen zalecane jest użycie certyfikatu SAN. Zamiast polegać wyłącznie na Common Name, wypisz wszystkie wymagane domeny w polu SAN. Jeśli Twoje potrzeby obejmują wiele subdomen, rozważ, czy certyfikat wieloznaczny może być odpowiedni dla Twojego przypadku użycia.
Względy bezpieczeństwa
Walidacja certyfikatu
Walidacja certyfikatu to kompleksowy proces, który obejmuje sprawdzenie zarówno pól Common Name, jak i SAN. Wszelkie niezgodności między tymi polami a rzeczywistą domeną spowodują wyświetlenie ostrzeżeń bezpieczeństwa w przeglądarkach. Regularne audyty certyfikatów i prawidłowa walidacja domeny stanowią podstawę solidnej strategii bezpieczeństwa.
Monitorowanie i konserwacja
Skuteczne zarządzanie certyfikatami wymaga stałego monitorowania i konserwacji. Ustanów regularne audyty certyfikatów, wdróż monitorowanie wygasania i utrzymuj dokładną dokumentację swojego inwentarza certyfikatów. Praktyki te pomagają zapobiegać nieoczekiwanym awariom certyfikatów i problemom z bezpieczeństwem.
Przyszłe trendy
Branża zdecydowanie zmierza w kierunku całkowitego wycofania Common Name, a SAN staje się uniwersalnym standardem. Organizacje powinny przygotować się na tę zmianę, wdrażając zautomatyzowane systemy zarządzania certyfikatami, przestrzegając rozszerzonych wymagań walidacyjnych i utrzymując silne standardy szyfrowania w całej swojej infrastrukturze.
Lista kontrolna wdrożenia
Przed wdrożeniem certyfikatu:
- Sprawdź wymagania dotyczące domeny
- Wybierz odpowiedni typ certyfikatu
- Sprawdź format nazwy pospolitej
- Dołącz domenę do pola SAN
- Certyfikat testowy przed wdrożeniem
- Podsumowanie
