<br><br><div class="gmail_quote">On Tue, Jun 1, 2010 at 12:28 AM, Magnus Therning <span dir="ltr"><<a href="mailto:magnus%2Bstunnel@therning.org">magnus+stunnel@therning.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
On Mon, May 31, 2010 at 22:50, Tristan Schmelcher<br>
<<a href="mailto:tristan_schmelcher@alumni.uwaterloo.ca">tristan_schmelcher@alumni.uwaterloo.ca</a>> wrote:<br>
[...]<br>
<div class="im">> stunnel-4.33-dns-commonname-verify-support.patch:<br>
><br>
> I saved the best for last. ;) This adds a "verify_dns" option to check<br>
> the CommonName in peer certificates against their DNS name when<br>
> verifying, much as web browsers do.<br>
><br>
> I have seen posts from users asking for this feature in the past, so I<br>
> think it's value is self-evident.<br>
<br>
</div>I do like the use of a configuration option to turn on hostname<br>
verification.  And as you say there have been requests for this<br>
feature in the past, but there have also been posts of patches<br>
implementing it in the past (e.g.<br>
<a href="http://stunnel.mirt.net/pipermail/stunnel-users/2010-March/002613.html" target="_blank">http://stunnel.mirt.net/pipermail/stunnel-users/2010-March/002613.html</a><br>
by me, but sans the option bit :-).</blockquote><div><br></div><div>For some reason your patch didn't turn up when I was searching for this feature before.</div><div><br></div><div>My thinking is that having an option for it makes a big difference.</div>
<div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">I do have some questions though:<br>
<br>
1. If I read this patch correctly it only checks CN, is that correct?<br></blockquote><div><br></div><div>Correct.</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">

2. Is there any particular reason for not including SAN in the<br>
verification as well?<br></blockquote><div><br></div><div>I confess that I have never heard of anything called SAN in the context of SSL/TLS, and I can't find anything about it online. Do you have a link?</div><div> </div>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
3. Are the patches released under GPL?<br></blockquote><div><br></div><div>No, I released them into the public domain since Michel requires that for any patches that are to be incorporated into mainline stunnel.</div><div>
 </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
<br>
/M<br>
<font color="#888888"><br>
--<br>
Magnus Therning                        (OpenPGP: 0xAB4DFBA4)<br>
magnus@therning.org          Jabber: magnus@therning.org<br>
<a href="http://therning.org/magnus" target="_blank">http://therning.org/magnus</a>         <a href="http://identi.ca" target="_blank">identi.ca</a>|twitter: magthe<br>
</font></blockquote></div><br>