<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Mar 21, 2016 at 8:31 AM, Rob Stradling <span dir="ltr"><<a href="mailto:rob.stradling@comodo.com" target="_blank">rob.stradling@comodo.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><span class="">On 21/03/16 11:56, Gervase Markham wrote:<br>
> On 21/03/16 11:49, Rob Stradling wrote:<br>
>> What would be the downside of saying that subject:commonName, if<br>
>> included in the cert, MUST contain either the A-label form or U-label<br>
>> form of one of the SAN:dNSName values?<br>
><br>
> Converting using IDNA2003 or IDNA2008? :-))<br>
><br>
> In a data structure designed for computer consumption, why would you not<br>
> want to write the computer-readable, as opposed to human-readable,<br>
> version of the label? My security spider-sense tells me that allowing<br>
> multiple "equivalent" forms of a name in a security context, rather than<br>
> requiring a single canonical form, is a good way of getting nasty bugs.<br>
<br>
</span>Browsers ignore subject.commonName (for determining whether or not the<br>
cert is valid for a given domain name) when 1 or more SAN:dNSNames are<br>
present, right?<br></blockquote><div><br>FWIW, that appears to be the case for mozilla::pkix.<br><br><a href="https://dxr.mozilla.org/mozilla-central/source/security/pkix/lib/pkixnames.cpp#380">https://dxr.mozilla.org/mozilla-central/source/security/pkix/lib/pkixnames.cpp#380</a><br><br></div><div>Nonetheless, I would *really* prefer that we be consistent between CN and SANs, just in case there are other browsers out there that don't have this behavior.<br><br></div><div>--Richard<br></div><div><br> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
How is the encoding of an ignored field "in a security context"?<br>
<span class="im"><br>
--<br>
Rob Stradling<br>
Senior Research & Development Scientist<br>
COMODO - Creating Trust Online<br>
<br>
</span><div class=""><div class="h5">_______________________________________________<br>
Public mailing list<br>
<a href="mailto:Public@cabforum.org">Public@cabforum.org</a><br>
<a href="https://cabforum.org/mailman/listinfo/public" rel="noreferrer" target="_blank">https://cabforum.org/mailman/listinfo/public</a><br>
</div></div></blockquote></div><br></div></div>