IDN的SSL证书中的CN & DNS字段使用哪种格式？

Question

如果我获得了IDN域的SSL证书，我应该期望CN字段中的值是域名的文字UTF-8字符串，还是转义的、小代码版本？

那么X509v3主题可供选择的域名DNS条目呢，这些条目会以相同的格式吗？

我能看到一些crt文件示例，或者链接到使用SSL的IDN吗？

这上面有规范规范吗？

Answer 1

假设您讨论的是HTTPS，传统上用于验证主机名的规则都是在RFC 2818，3.1节中定义的，它根本没有提到国际化域名。

最近，编写了一个“最佳做法”RFC 6125，以协调各协议之间的主机名验证程序，并澄清一些其他要点。下面是它对IDN (第6.4.2节)的看法：

如果参考标识符的DNS域名部分是国际化域名，则在检查域名之前，实现必须将域名中的任何U标签IDNA-DEFS转换为A-标签。根据IDNA-PROTO，A-标签必须作为不区分大小写的ASCII进行比较.每个标签必须匹配，才能考虑域名匹配，除非有关于检查通配符标签的规则(第6.4.3节；但另见关于国际化域名中通配符的第7.2节)。

不幸的是，这可能对你的实践没有帮助。首先，RFC 6125是相对较新的，据我所知，很少有应用程序或库声称实现它。其次，并非所有库都遵循RFC 2818 (例如，浏览器有时可以更宽容地接受哪些CNs )。