Pe vremea mea ™, când voiai să generezi un certificat, îi puneai acolo la CN sau Subject cu ce nume îl accesai sau cum îl validai, că poate îl puneai la SMTP sau la alt serviciu, trimiteai CSR-ul la semnat, primeai certificatul și erai fericit.

După aia s-a inventat SAN-ul (Subject Alternative Name) și puteai să ai mai multe “nume” pe același certificat, gen alias-uri. Și regula era cam așa: la CN puneai FQDN-ul primar și la SAN băgai cum era hostname-ul sau adresa IP sau alte FQDN-uri etc… și nu-ți dădea oroare indiferent de cum accesai serviciul atâta timp cât nimereai unul din numele alea pentru care era emis certificatul.

Acu ceva vreme m-am învârtit ca un coi într-o căldare neînțelegând de ce accesând un serviciu cu numele din CN, Chrome și Safari îmi dădeau prin gură că nu e certificatul valid, deși dacă mă uitam la Chain of Trust îmi zicea că certificatul e valid. Un fel de e valid, da de fapt nu.

Dacă accesam serviciul folosind ce mai pusesem la SAN în certificat, nu mai dădea oroare. Evident că a urmat un bă ce morții și răniții mă-sii.

După ce-am terminat de înjurat, m-am apucat să sap să văd daca m-am tâmpit sau ceva.

CAB forum a decis că utilizarea CN este opțională (secțiune 7.1.4.2 din Baseline Requirements) și chiar descurajează treaba asta.

Ei și se pare că de la nu’șce versiune, browserele astea noi precum Chrome si Safari (deși cre’că și Firefox face la fel), ce treci în CN trebuie să existe și în SAN, că acum se uită doar în SAN după sub ce nume este valid certificatul. Sau mai bine zis, CN nu mai are nici o relevanță; sau îmi scapă mie la ce mai e folosit.

Asta din categoria cum învățăm despre evoluția tehnologiei “the hard way”.