<html><body bgcolor="#FFFFFF"><div></div><div><span class="Apple-style-span" style="font-size: 15px; -webkit-tap-highlight-color: rgba(26, 26, 26, 0.296875); -webkit-composition-fill-color: rgba(175, 192, 227, 0.230469); -webkit-composition-frame-color: rgba(77, 128, 180, 0.230469); "><span> </span><span>Hi,</span><br><span>I believe this has been discussed before on the list but I wanted to get </span><span>a better understanding and confirm the current situation.</span><br><span></span><br><span>Is it still correct that when using verify=2, the peer's hostname is not </span><span>checked (via a name service lookup) to match the Common Name in the </span><span>presented certificate? With the main reason being that you cannot </span><span>necessarily trust the name service?</span><br><span></span><br><span>I am asking because we have a closed network in which we do trust our </span><span>dns servers, and Common Name checking would be advantageous to us given </span><span>the following scenario:</span><br><span></span><br><span>We have is that a single (central) host that connects to multiple </span><span>'client' hosts via stunnel. The central host presents a certificate </span><span>signed by our own CA. Each client has a copy of our CA's certificate and </span><span>has verify=2. So when the central server connects, the client checks </span><span>that the certificate presented has really been signed by our own CA. So </span><span>using this mechanism, only servers (i.e. the central server) with a </span><span>signed certificate are allowed to connect.</span><br><span></span><br><span>All good so far, however the problem is if the signed certificate is </span><span>copied (stolen) to another server. This 'other' server can connect to </span><span>all the clients also. With Common Name checking, the clients could as </span><span>well as checking the signature, check the presenting host has the same </span><span>hostname as in the certificate.</span><br><span></span><br><span>Is there anyway we can use stunnel to help us guard against this 'stolen </span><span>cert' situation or if not what else could we do?</span><br><span></span><br><span>Thanks,</span><br><span>Mark</span><br></span></div></body></html>