:strip_icc():strip_exif()/u/147640/van_hitomi_small_1_noborder.jpg?f=community)
Solar @ Dongen: http://solar.searchy.net/ - Penpal International: http://ppi.searchy.net/
Volgens mij is het eigenlijk heel simpel.
De CA kan immers signen wat 'ie wil, dus ook een andere DN. De enige 'garantie' die jij hebt is dat de CA je public key in het gesignede certificaat opneemt.
De signature van je CSR dient enkel ter verificatie van je request, en er staat de CA dan ook vrij om de DN te wijzigen. Al sturen ze je een certificaat terug met een DN van Google - dan weet ik nog wel een paar partijen die je private key willen kopen
De CA kan immers signen wat 'ie wil, dus ook een andere DN. De enige 'garantie' die jij hebt is dat de CA je public key in het gesignede certificaat opneemt.
De signature van je CSR dient enkel ter verificatie van je request, en er staat de CA dan ook vrij om de DN te wijzigen. Al sturen ze je een certificaat terug met een DN van Google - dan weet ik nog wel een paar partijen die je private key willen kopen
:strip_icc():strip_exif()/u/25852/bowmore_18k.jpg?f=community)
Het is inderdaad vrij gemakkelijk een CSR aan te passen zodat de DN veranderd.
De CN zullen ze nooit aanpassen, omdat die exact gelijk moet zijn met de url van de webpagina die je aan het beveiligen bent.
De DN (Distinguished Name) bestaat uit meer dan alleen de CN (Common Name):
Al sturen ze je een certificaat terug met een DN van Google - dan weet ik nog wel een paar partijen die je private key willen kopen
De CN zullen ze nooit aanpassen, omdat die exact gelijk moet zijn met de url van de webpagina die je aan het beveiligen bent.