View Issue Details

Jump to NotesJump to History
IDProjectCategoryView StatusDate SubmittedLast Update
0001286Main CAcert Websitecertificate issuingpublic2014-06-19 16:302014-09-18 14:46
Reporterneal Assigned To 
PrioritynormalSeverityminorReproducibilityhave not tried
Status newResolutionopen 
PlatformTest CAcert WebsiteOSN/AOS VersionTest
Summary0001286: Domain Certificates, CommonName containing "DNS:"
DescriptionDomain Certificates - View all certificates
Renew/Revoke/Delete Status CommonName SerialNumber Revoked Expires Comment *
    Valid DNS:example.org 4FE2 Not Revoked 2014-07-19 16:20:53
    Valid example.org 4FE1 Not Revoked 2014-07-19 15:34:43
Steps To Reproduce1. Create a cert containing an invalid CN but an valid SubjectAltName
2. let it be signed
-> the signer will remove the CN and use the SubjectAltName as CN
Additional InformationThe created, signed Pub-Key is fine
        Subject: CN=example.org
TagsNo tags attached.
Reviewed by
Test Instructions

Activities

reinhardm

2014-09-18 09:44

updater   ~0005014

1. Test mit definitiv ungueltiger Domain ohne-#-#elf.com

 Bitte kontrollieren Sie, dass die folgenden Angaben richtig sind, bevor Sie weitermachen.

Es werden keine weiteren Informationen in Ihr Zertifikat aufgenommen, da diese vom System leider nicht automatisch überprüft werden könnten.

Die folgenden Hostnamen wurden abgelehnt, da das System sie nicht Ihrem Konto zuordnen konnte. Wenn die Hostnamen gültig sind, dann fügen Sie Ihrem Konto die entsprechende Domains hinzu.
Abgelehnt: ohne#-#elf.com

CSR war:
PKCS 0000010 Certificate Request Information:
        Version: 1
        Subject: C=DE,ST=Saxony,L=Leipzig,O=Skatclub Ohne Elf,OU=ISPA,CN=ohne#-#elf.com,EMAIL=webmaster@ohne#-#elf.com
        Subject Public Key Algorithm: RSA
        Algorithm Security Level: High (4096 bits)
                Modulus (bits 4096):
*******************
noch ein Test mit CN micheltod.de (nicht in meinem account)
*******************
 Bitte kontrollieren Sie, dass die folgenden Angaben richtig sind, bevor Sie weitermachen.

Es werden keine weiteren Informationen in Ihr Zertifikat aufgenommen, da diese vom System leider nicht automatisch überprüft werden könnten.

Die folgenden Hostnamen wurden abgelehnt, da das System sie nicht Ihrem Konto zuordnen konnte. Wenn die Hostnamen gültig sind, dann fügen Sie Ihrem Konto die entsprechende Domains hinzu.
Abgelehnt: micheltod.de
Die Domain ist nicht bestätigt.
                        
CSR war , erzeugt mit Kleopatra:
PKCS 0000010 Certificate Request Information:
        Version: 1
        Subject: C=DE,O=Skatclub Ohne Elf Leipzig,OU=Skat,L=Leipzig,CN=micheltod.de
        Subject Public Key Algorithm: RSA
        Algorithm Security Level: Legacy (2048 bits)
                Modulus (bits 2048):
                        00:c5:ff:c0:91:01:0a:96:80:c8:3e:c8:73:db:7b:eb
 .............................
                        4f
                Exponent (bits 24):
                        01:00:01
        Attributes:
                Extensions:
                        Subject Alternative Name (not critical):
                                URI: ohne-elf.de
                                RFC822name: webmaster@ohne-elf.de
Other Information:
        Public Key Id:
                c20df39915a54c59f7334127a4d0e95c9d5a1cae

Self signature: verified

-----BEGIN NEW CERTIFICATE REQUEST-----
........................................
91XjPG0cVSxsbb044oqJ3mlcGsq3hzBbmxJ9g7mE/23Erw==
-----END NEW CERTIFICATE REQUEST-----

reinhardm

2014-09-18 10:03

updater   ~0005015

need more info from reporter, see note 5014

reporter says (assumes), that DNS:example.org is invalid.

This given name matches the criteria in RFC6125.
see http://tools.ietf.org/html/rfc6125

Chapter 2.1 says:
 Therefore, we can categorize the identifier types of interest as
   follows:

   o A CN-ID is direct and unrestricted.

   o A DNS-ID is direct and unrestricted.
   o An SRV-ID can be either direct or (more typically) indirect, and
      is restricted.

   o A URI-ID is direct and restricted.

   We summarize this taxonomy in the following table.

   +-----------+-----------+---------------+
   | | Direct | Restricted |
   +-----------+-----------+---------------+
   | CN-ID | Yes | No |
   +-----------+-----------+---------------+
   | DNS-ID | Yes | No |
   +-----------+-----------+---------------+
   | SRV-ID | Either | Yes |
   +-----------+-----------+---------------+
   | URI-ID | Yes | Yes |
   +-----------+-----------+---------------+


I would advice to change the status from NEW to REJECT.

Issue History

Date Modified Username Field Change
2014-06-19 16:30 neal New Issue
2014-09-18 09:44 reinhardm Note Added: 0005014
2014-09-18 10:03 reinhardm Note Added: 0005015