Compatibilidad con navegadores para Nombres alternativo del sujeto

Cómo los navegadores utilizan el campo Nombre alternativo del sujeto en el certificado SSL.

Cuando los navegadores conectarse a su servidor mediante https, comprueben que el certificado SSL coincide con el nombre de host en la barra de direcciones.

Hay tres formas que los navegadores pueden comprobar la coincidencia de un dominio:

  1. El nombre de host (en la barra de direcciones) coincide exactamente con el nombre común en el asunto del certificado.
  2. El nombre de host coincide con un nombre común comodín. p. ej., www.ejemplo.com coincide con el nombre común *.ejemplo.com.
  3. El nombre de host está en la lista en el campo Nombre Alternativo del Sujeto(SAN).

La forma más común de hacer coincidir el nombre de SSL es que el cliente SSL para comparar el nombre del servidor se conecta a con el nombre común en el certificado del servidor. Es una apuesta segura que todos los clientes SSL apoyará la coincidencia exacta de nombre común.

Si un certificado SSL tiene un Nombre alternativo del sujeto (SAN), entonces los clientes SSL se supone que ignoran el valor del nombre común y buscar una coincidencia en la lista SAN. Esta es la razón que DigiCert siempre repite el Nombre Común como el primer SAN en nuestros certificados.

¿Cuáles clientes SSL saben encontrar Nombres Alternativos del Sujeto?

La mayoría de dispositivos móviles funcionan bien con los Nombres Alternativos del Sujeto, y la mayoría de los certificados Comodín funcionan bien tambien, pero todos ellos apoyan la coincidencia exacta del Nombre común.

Internet Explorer, Firefox, Opera, Safari y Netscapetiene todos los nombres de sujeto alternativo apoyado desde el año 2003. Internet Explorer es compatible con los nombres SAN desde la versión de Windows 98.

Windows Mobile 5 acepta nombres alternativos del sujeto, pero no es compatible con certificados SSL de tipo Comodín (*.ejemplo.com). Sin embargo, los certificados DigiCert comodín le permiten incluir en el certificado como SANs subdominios de su dominio.

Windows Mobile 6 es compatible con nombres alternativos del sujeto y la coincidencia con comodín.

Más reciente Palm Treo dispositivos de uso WM5, pero los mayores ejecutar PalmOS y utilizar VersaMail para ActiveSync. Los Treos anteriores no son compatibles con nombres SAN.

Los nuevos teléfonos inteligentes con sistema operativo Symbian OS Symbian OS es compatible con los Nombres Alternativos del Sujeto a partir de la versión 9.2.

La mayoría de los teléfonos inteligentes con sistema operativo Symbian OS (Symbian OS 9.1 y anteriores) no son compatibles con juego Nombres Alternativos del Sujeto. Esto parece ser resueltos en el sistema operativo Symbian 9.2 (S60 3rd Edition, Feature Pack 1).

De Palm Treo mayores dispositivos PalmOS ejecutar y utilizar VersaMail para ActiveSync. Estos Treos anteriores no son compatibles con juegos de SAN nombre.

Debido a que todos los dispositivos móviles no son compatibles con el campo Nombres Alternativos del Sujeto, es más seguro para poner su Nombre Común con el nombre que la mayoría de dispositivos móviles va a utilizar a conectar con el servidor de correo o aplicación.

Relacionados con: