tls certifikat
Pavel Kankovsky
peak na argo.troja.mff.cuni.cz
Čtvrtek Leden 4 18:37:21 CET 2007
On Thu, 4 Jan 2007, bambas wrote:
> No ale SSL certifikat a TLS certifikat se lisi, a nikde jsem v
> manualovych strankach nenalezl, jak definuji, ze chci vygenerovat TLS
> a ne SSL. Defaultne generuje SSL cert. ne?
Není žádný "SSL certifikát" a "TLS certifikát". Obojí jsou to certifikáty
podle X.509. Jediná specifika toho certifikátu, ze kterých vyplývá
použitelnost pro SSL/TLS jsou
1. musí být použité algoritmy podporované SSL/TLS,
2. musí být vystaven na určité specifické jméno.
Ad 1. je velmi nepravděpodobné, že by to nebylo splněno, možná snad kdyby
to byly nějaké eliptické křivky (ty podporuje až nějaké rozšíření TLS).
V každém případě platí, že to, co funguje v SSL, bude fungovat i v TLS.
Ad 2. Klasicky to bylo tak, že ve jméně (subject) mělo být CN odpovídající
DNS jméno. PKIX (RFC 2459) to rozšířilo o alternativní jména dovolující
vystavit certifikát pro víc DNS jmen. Je možné, že nějaká starodávná
implementace SSL tohle nepodporuje, ale to je asi tak veškerý rozdíl.
Zajímavé je, že specifikace TLS (RFC 2246/4346) vlastně vůbec nic neříká
o tom, jak se má kontrolovat platnost certifikátů.
Nicméně závěr je takový, že z hlediska certifikátu je v drtivé většině
případů zcela jedno, jestli bude sloužit pro TLS, SSL nebo obojí.
--Pavel Kankovsky aka Peak [ Boycott Microsoft--http://www.vcnet.com/bms ]
"Resistance is futile. Open your source code and prepare for assimilation."
Další informace o konferenci Linux