6.1. ホスト名検証 (Host Name Validation)

アプリケーション作成者は、一部のTLS実装がホスト名を検証しないことに注意する必要があります。使用しているTLS実装がホスト名を検証しない場合、作成者は独自の検証コードを記述するか、別のTLS実装の使用を検討する必要があるかもしれません。

ホスト名検証 (および一般的に、TLS層とその上で実行されるプロトコル間のバインディング) に関する要件は、プロトコルによって異なることに注意してください。HTTPSの場合、これらの要件は [RFC2818] のセクション3で定義されています。

TLSコンテキストでの一般的なホスト名検証に関する詳細については、読者は [RFC6125] を参照してください。さらに、そのRFCには、HTTPSとは大きく異なるポリシーを実装するものを含む、例示的なプロトコルの長いリストが含まれています。

ホスト名が間接的かつ安全でない方法 (例: MXまたはSRVレコードの安全でないDNSクエリ) で検出された場合、提示された証明書と一致する場合でも、参照識別子 [RFC6125] として使用すべきではありません (SHOULD NOT)。この条件は、ホスト名が安全に検出された場合には適用されません (詳細な議論については、[DANE-SRV] および [DANE-SMTP] を参照してください)。

ホスト名検証は通常、リーフ「エンドエンティティ」証明書にのみ適用されます。当然ながら、PKIのコンテキストで適切な認証を確保するために、アプリケーションクライアントは [RFC5280] に従って証明書パス全体を検証する必要があります ([RFC6125] も参照)。