【问题标题】:Is a wildcard in SNI valid?SNI 中的通配符有效吗?
【发布时间】:2021-01-14 22:02:52
【问题描述】:

遇到了一个数据包捕获,其中客户端 hello SNI 具有此值 *.immedia-semi.com。 SNI 中的通配符是否有效?

【问题讨论】:

  • @Dai 来自 RFC 6066,它提到 SNI 应该是有效的 DNS 主机名。根据那个,有一个通配符似乎不正确? (tools.ietf.org/html/rfc6066#section-3) 我知道证书 SAN 中的通配符是可以接受的。
  • 我的错误 - 我误解了你的问题。我删除了我的评论。

标签: ssl sni


【解决方案1】:

server_name 扩展 (SNI) 旨在指定主机名。来自RFC 6066

"HostName" 包含服务器的完全限定的 DNS 主机名, 按照客户的理解。

鉴于通配符不是有效的 FQDN,它在这里也无效。类似的 IP 地址也不是 FQDN,甚至在这里明确禁止。

客户端 TLS 实现通常不会检查程序给出的内容,因为 SNI 也使用过多,因此有时会在野外看到损坏的 SNI,这是由应用程序错误引起的。

【讨论】:

  • "类似的 IP 地址也不是 FQDN,甚至在这里也被明确禁止。" - 嗯!这很令人惊讶,因为我认为 TLS 可用于保护由 IP 地址识别的主机 - 或 任何 任意名称,而不仅仅是 DNS 名称 - 还是仅用于 SNI?
  • @Dai:这仅适用于 SNI。 SNI 的重点是有一些东西可以区分同一 IP 地址的不同名称。当使用 IP 地址作为目标时,不需要 SNI,即首先使用它是没有意义的。
猜你喜欢
  • 1970-01-01
  • 1970-01-01
  • 2017-07-29
  • 2011-06-17
  • 2016-08-13
  • 1970-01-01
  • 2015-05-13
  • 1970-01-01
相关资源
最近更新 更多