サーバ証明書のコモンネームについて

サーバ証明書のコモンネーム(Common Name、一般名)について教えてください。

公的認証局のホームページを見ると、サーバ証明書のコモンネームはSSL接続するサイトのURL（FQDNまたはIPアドレス）とする、と記載されています。しかし当方の知り得る範囲で（イントラネット内ですが）、証明書のコモンネームとURLが異なるものがあります。（*を使っていて一部しかあっていない、などということではなく、まったく異なるドメイン名となっている）

このことに関して以下について教えていただけませんでしょうか。

(1) 証明書のコモンネームとURLを一致させるというのは、サーバ証明書の仕組みとして必須なのでしょうか？それとも、努力目標やマナーといった「必ずしも一致させなくても良い」というレベルの取り決めなのでしょうか？

(2) 当方にて、前述したコモンネームとURLが異なるサイトを表示させた場合、証明書エラーが出たり、URL欄が赤色で協調されたりということはありませんでした（当方はInternet Explorer8を使用）。コモンネームとURLが違う場合、Webブラウザはユーザには何ら警告を出さないものなのでしょうか？

以上、よろしくお願いいたします。

No.1 ベストアンサー 回答者： kadusaya2 回答日時： 2014/09/11 22:23

(1) 必須です。

文字通り「証明書」なのですから、証明書の内容と実際が異なっていたら証明になりません。

(2) 通常は警告を出します。
Internet Explorerならば、「ツール」→「インターネットオプション」→「詳細設定」→「セキュリティ」→「証明書のアドレスの不一致について警告する」のチェックが外れているのではないでしょうか。
この項目のチェックが外れていると、そのIEでは詐欺サイトの確認を行いません。

おそらくイントラネットでエラーを表示させないために設定を変えたのだと思われますが、そのIEでインターネット上のサイトは見ない方が良いでしょう。他にも安全性を無視した設定がされているかもしれないので、悪意のあるサイトにより何かを仕込まれたり騙されたりする可能性があります。

この回答へのお礼

ご回答くださりありがとうございました。
Internet Explorerの設定で、「証明書のアドレスの不一致について警告する」かどうかを選択できるのですね。これは知りませんでした。

質問に記載した不一致の例では、「証明書のアドレスの不一致について警告する」にチェックはついていたものの警告等はありませんでした。ただ、警告等が出ないのはWebブラウザの設定によるところが分かりましたので、IEの設定を突っ込んで確認しようと思います。

大変、参考になりました。ありがとうございました。

お礼日時：2014/09/13 16:48

No.2 回答者： hanabutako 回答日時： 2014/09/11 22:24

それについて書いてあるのはRFC2818のSection 3.1だと思います。

http://tools.ietf.org/html/rfc2818#section-3.1

(1) 公的認証局に署名してもらったサーバー証明書を使うなら、必須なものと考えるべきだと思います。
(2) 一致しているかの確認作業を省略して良いとWebブラウザに設定したからではないでしょうか。

この回答へのお礼

ご回答くださりありがとうございました。
まさに「RFC2818」のような文書を探していました。

コモンネームとURLが異っても警告等がでないのは、Webブラウザの設定によるものと考えられるとのご助言、ありがとうございます。

大変、参考になりました。ありがとうございました。

お礼日時：2014/09/13 16:45