<p dir="ltr">This is the latest traffic on DNS..may be helpful</p>
<div class="gmail_quote">---------- Forwarded message ----------<br>From: "Michal Trojnara" <<a href="mailto:Michal.Trojnara@mirt.net">Michal.Trojnara@mirt.net</a>><br>Date: Sep 19, 2013 4:04 PM<br>Subject: Re: [stunnel-users] Hostname verification, support for, and patches<br>
To:  <<a href="mailto:stunnel-users@stunnel.org">stunnel-users@stunnel.org</a>><br>Cc: <br><br type="attribution">
  
    
  
  <div text="#000000" bgcolor="#FFFFFF">
    <div>On 2013-09-12 18:20, <a href="mailto:fslama@comcast.net" target="_blank">fslama@comcast.net</a>
      wrote:<br>
    </div>
    <blockquote type="cite">
      <div style="font-size:12pt;font-family:Arial">I
        have a requirement to have stunnel (4.56) validate client
        certificates and their identity by comparing the its CNAME
        against the source address.</div>
    </blockquote>
    Can you elaborate on this?  What to you mean by source address? 
    IPv4/IPv4 IP address?  FQDN retrieved with reverse DNS lookup?<br>
    <br>
    <blockquote type="cite">
      <div style="font-size:12pt;font-family:Arial">
        <div>I recall reading one response (which I can't find at the
          moment) from Marzena Trojnara indicating that this feature
          won't be supported.</div>
        <div>If so, can you explain the rational?</div>
      </div>
    </blockquote>
    The rationale is as follows:<br>
    1. FQDN verification was introduced to check whether the web site
    the browser connected to is indeed the web site intended by the
    browser.<br>
    2. For server mode (to verify peer clients) it would not be possible
    to check *intended* peer address, as it is client that initiates the
    connection and not server, thus a server has no way to know what the
    *intended* peer is.  Comparing CNAME/SubjectAltName against client's
    IP address or FQDN would be pointless from security perspective, as
    both are spoofable.<br>
    3. For client mode (to verify peer servers) it is much better (i.e.
    more secure) to just download peer certificate and use "verify =
    4".  Web browsers have to rely on CNAME/SubjectAltName checks, as
    unlike stunnel they don't know in advance the identity of servers
    they'll connect to.<br>
    4. Proper FQDN validation is a complex task.  There were many
    security vulnerabilities in mainstream browsers due to the
    complexity of IDN and wildcard certificates.<br>
    <br>
    I also recommend reading chapter 3 (Endpoint Identification) of RFC
    2818 (<a href="http://tools.ietf.org/html/rfc2818" target="_blank">http://tools.ietf.org/html/rfc2818</a>). 
    This document is specific to HTTPS, as HTTPS is currently the only
    SSL based protocol that relies on CNAME/SubjectAltName for
    authentication.<br>
    <br>
    Mike<br>
  </div>

<br>_______________________________________________<br>
stunnel-users mailing list<br>
<a href="mailto:stunnel-users@stunnel.org">stunnel-users@stunnel.org</a><br>
<a href="https://www.stunnel.org/cgi-bin/mailman/listinfo/stunnel-users" target="_blank">https://www.stunnel.org/cgi-bin/mailman/listinfo/stunnel-users</a><br>
<br></div>