Zum Hauptinhalt springen

6.1 Host Name Validation (Hostnamen-Validierung)

6.1 Host Name Validation (Hostnamen-Validierung)

Anwendungsautoren sollten beachten, dass einige TLS-Implementierungen Hostnamen nicht validieren. Wenn die von ihnen verwendete TLS-Implementierung Hostnamen nicht validiert, müssen Autoren möglicherweise ihren eigenen Validierungscode schreiben oder erwägen, eine andere TLS-Implementierung zu verwenden.

Es wird darauf hingewiesen, dass die Anforderungen bezüglich der Hostnamen-Validierung (und im Allgemeinen die Bindung zwischen der TLS-Ebene und dem Protokoll, das darüber läuft) zwischen verschiedenen Protokollen variieren. Für HTTPS sind diese Anforderungen in Abschnitt 3 von [RFC2818] definiert.

Leser werden auf [RFC6125] für weitere Details bezüglich der generischen Hostnamen-Validierung im TLS-Kontext verwiesen. Darüber hinaus enthält dieses RFC eine lange Liste von Beispielprotokollen, von denen einige eine Richtlinie implementieren, die sich stark von HTTPS unterscheidet.

Wenn der Hostname indirekt und auf unsichere Weise entdeckt wird (z.B. durch eine unsichere DNS-Abfrage für einen MX- oder SRV-Eintrag), SOLLTE er NICHT als Reference Identifier [RFC6125] verwendet werden, selbst wenn er mit dem präsentierten Zertifikat übereinstimmt. Diese Einschränkung gilt nicht, wenn der Hostname sicher entdeckt wird (für weitere Diskussion siehe [DANE-SRV] und [DANE-SMTP]).

Die Hostnamen-Validierung gilt typischerweise nur für das Blatt-"End Entity"-Zertifikat. Natürlich müssen Anwendungs-Clients, um eine ordnungsgemäße Authentifizierung im Kontext der PKI sicherzustellen, den gesamten Zertifizierungspfad gemäß [RFC5280] überprüfen (siehe auch [RFC6125]).

Letztes Update am