哪種格式可用於IDN的SSL證書中的CN和DNS字段？

Question

如果我爲IDN域頒發SSL證書，我應該期望CN字段中的值是域名的字面UTF-8字符串還是轉義的punycode版本？

怎麼樣X509v3主題備用名稱DNS條目，那些將在相同的格式？

我可以看到一些示例crt文件，或鏈接到使用SSL的IDN嗎？

有沒有這方面的規範規範？

Answer 1

假設您在談論HTTPS，傳統上用於主機名驗證的規則在RFC 2818, Section 3.1中定義，它根本沒有提到國際化域名。

最近，編寫了一個「最佳實踐」RFC RFC 6125，以協調跨協議的主機名驗證程序，並澄清了其他許多要點。下面是它說，關於國際化域名（section 6.4.2）：

If the DNS domain name portion of a reference identifier is an 
internationalized domain name, then an implementation MUST convert 
any U-labels [IDNA-DEFS] in the domain name to A-labels before 
checking the domain name. In accordance with [IDNA-PROTO], A-labels 
MUST be compared as case-insensitive ASCII. Each label MUST match in 
order for the domain names to be considered to match, except as 
supplemented by the rule about checking of wildcard labels 
(Section 6.4.3; but see also Section 7.2 regarding wildcards in 
internationalized domain names). 

不幸的是，這可能不會幫助你在實踐中。首先，RFC 6125是相對較新的，據我所知，很少有應用程序或庫聲稱實現它。其次，並非所有圖書館都遵循RFC 2818的規定（例如，瀏覽器有時可以更寬容地接受哪些CN是可接受的）。