Passa al contenuto principale

6.1 Host Name Validation (Validazione del nome host)

6.1 Host Name Validation (Validazione del nome host)

Gli autori di applicazioni dovrebbero notare che alcune implementazioni TLS non validano i nomi host. Se l'implementazione TLS che stanno utilizzando non valida i nomi host, gli autori potrebbero dover scrivere il proprio codice di validazione o considerare l'utilizzo di un'implementazione TLS diversa.

Si nota che i requisiti riguardanti la validazione del nome host (e, in generale, il binding tra il livello TLS e il protocollo che viene eseguito sopra di esso) variano tra diversi protocolli. Per HTTPS, questi requisiti sono definiti dalla Sezione 3 di [RFC2818].

I lettori sono indirizzati a [RFC6125] per ulteriori dettagli riguardanti la validazione generica del nome host nel contesto TLS. Inoltre, tale RFC contiene una lunga lista di protocolli di esempio, alcuni dei quali implementano una policy molto diversa da HTTPS.

Se il nome host viene scoperto indirettamente e in modo insicuro (ad esempio, tramite una query DNS insicura per un record MX o SRV), NON DOVREBBE essere utilizzato come identificatore di riferimento [RFC6125] anche quando corrisponde al certificato presentato. Questa condizione non si applica se il nome host viene scoperto in modo sicuro (per ulteriore discussione, vedere [DANE-SRV] e [DANE-SMTP]).

La validazione del nome host tipicamente si applica solo al certificato "end entity" foglia. Naturalmente, al fine di garantire una corretta autenticazione nel contesto della PKI, i client applicativi devono verificare l'intero percorso di certificazione in conformità con [RFC5280] (vedere anche [RFC6125]).

Ultimo aggiornamento il