View Issue Details
ID | Project | Category | View Status | Date Submitted | Last Update |
---|---|---|---|---|---|
0001286 | Main CAcert Website | certificate issuing | public | 2014-06-19 16:30 | 2014-09-18 14:46 |
Reporter | neal | Assigned To | |||
Priority | normal | Severity | minor | Reproducibility | have not tried |
Status | new | Resolution | open | ||
Platform | Test CAcert Website | OS | N/A | OS Version | Test |
Summary | 0001286: Domain Certificates, CommonName containing "DNS:" | ||||
Description | Domain Certificates - View all certificates Renew/Revoke/Delete Status CommonName SerialNumber Revoked Expires Comment * Valid DNS:example.org 4FE2 Not Revoked 2014-07-19 16:20:53 Valid example.org 4FE1 Not Revoked 2014-07-19 15:34:43 | ||||
Steps To Reproduce | 1. Create a cert containing an invalid CN but an valid SubjectAltName 2. let it be signed -> the signer will remove the CN and use the SubjectAltName as CN | ||||
Additional Information | The created, signed Pub-Key is fine Subject: CN=example.org | ||||
Tags | No tags attached. | ||||
Reviewed by | |||||
Test Instructions | |||||
|
1. Test mit definitiv ungueltiger Domain ohne-#-#elf.com Bitte kontrollieren Sie, dass die folgenden Angaben richtig sind, bevor Sie weitermachen. Es werden keine weiteren Informationen in Ihr Zertifikat aufgenommen, da diese vom System leider nicht automatisch überprüft werden könnten. Die folgenden Hostnamen wurden abgelehnt, da das System sie nicht Ihrem Konto zuordnen konnte. Wenn die Hostnamen gültig sind, dann fügen Sie Ihrem Konto die entsprechende Domains hinzu. Abgelehnt: ohne#-#elf.com CSR war: PKCS 0000010 Certificate Request Information: Version: 1 Subject: C=DE,ST=Saxony,L=Leipzig,O=Skatclub Ohne Elf,OU=ISPA,CN=ohne#-#elf.com,EMAIL=webmaster@ohne#-#elf.com Subject Public Key Algorithm: RSA Algorithm Security Level: High (4096 bits) Modulus (bits 4096): ******************* noch ein Test mit CN micheltod.de (nicht in meinem account) ******************* Bitte kontrollieren Sie, dass die folgenden Angaben richtig sind, bevor Sie weitermachen. Es werden keine weiteren Informationen in Ihr Zertifikat aufgenommen, da diese vom System leider nicht automatisch überprüft werden könnten. Die folgenden Hostnamen wurden abgelehnt, da das System sie nicht Ihrem Konto zuordnen konnte. Wenn die Hostnamen gültig sind, dann fügen Sie Ihrem Konto die entsprechende Domains hinzu. Abgelehnt: micheltod.de Die Domain ist nicht bestätigt. CSR war , erzeugt mit Kleopatra: PKCS 0000010 Certificate Request Information: Version: 1 Subject: C=DE,O=Skatclub Ohne Elf Leipzig,OU=Skat,L=Leipzig,CN=micheltod.de Subject Public Key Algorithm: RSA Algorithm Security Level: Legacy (2048 bits) Modulus (bits 2048): 00:c5:ff:c0:91:01:0a:96:80:c8:3e:c8:73:db:7b:eb ............................. 4f Exponent (bits 24): 01:00:01 Attributes: Extensions: Subject Alternative Name (not critical): URI: ohne-elf.de RFC822name: webmaster@ohne-elf.de Other Information: Public Key Id: c20df39915a54c59f7334127a4d0e95c9d5a1cae Self signature: verified -----BEGIN NEW CERTIFICATE REQUEST----- ........................................ 91XjPG0cVSxsbb044oqJ3mlcGsq3hzBbmxJ9g7mE/23Erw== -----END NEW CERTIFICATE REQUEST----- |
|
need more info from reporter, see note 5014 reporter says (assumes), that DNS:example.org is invalid. This given name matches the criteria in RFC6125. see http://tools.ietf.org/html/rfc6125 Chapter 2.1 says: Therefore, we can categorize the identifier types of interest as follows: o A CN-ID is direct and unrestricted. o A DNS-ID is direct and unrestricted. o An SRV-ID can be either direct or (more typically) indirect, and is restricted. o A URI-ID is direct and restricted. We summarize this taxonomy in the following table. +-----------+-----------+---------------+ | | Direct | Restricted | +-----------+-----------+---------------+ | CN-ID | Yes | No | +-----------+-----------+---------------+ | DNS-ID | Yes | No | +-----------+-----------+---------------+ | SRV-ID | Either | Yes | +-----------+-----------+---------------+ | URI-ID | Yes | Yes | +-----------+-----------+---------------+ I would advice to change the status from NEW to REJECT. |