<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN" "http://www.w3.org/TR/REC-html40/loose.dtd">
<html lang="en">
<head>
<meta content="text/html; charset=US-ASCII" http-equiv="Content-Type">
<title>
GitLab
</title>


<style>img {
max-width: 100%; height: auto;
}
</style>
</head>
<body>
<div class="content">

<div style="">
<p dir="auto">For (1) I am not sure what guidelines you refer to. CAs don't have DNS names or IP addresses and thus name constraints as implemented by gnutls (we implement no DN contraints), do not apply. Thus the comment seems correct.</p>
<p dir="auto">For (2) again I'm not sure what's the invalid behavior you are pointing out. As above certificates which can act as server certificates (with any purpose, or server purpose) are checked, because these are the only that DNS or IP names make sense.</p>
<p dir="auto">(3) I'm not sure whether that adds any value. What is the actual problem you are pointing? Are there valid certificate chains that will fail this name constraints check? The CN check is a hack because many certificates set this field instead of the correct (dns_name). If however a server certificate doesn't set the <code>dns_name</code> whether we fallback to CN with an invalid name or simply reject it, it seems to me that it does very little difference.</p>
</div>


</div>
<div class="footer" style="margin-top: 10px;">
<p style="font-size: small; color: #777;">

<br>
Reply to this email directly or <a href="https://gitlab.com/gnutls/gnutls/issues/776#note_179180442">view it on GitLab</a>.
<br>
You're receiving this email because of your account on gitlab.com.
If you'd like to receive fewer emails, you can
<a href="https://gitlab.com/sent_notifications/f6c040336431d81a44bf3a8328ba2d08/unsubscribe">unsubscribe</a>
from this thread or
adjust your notification settings.
<script type="application/ld+json">{"@context":"http://schema.org","@type":"EmailMessage","action":{"@type":"ViewAction","name":"View Issue","url":"https://gitlab.com/gnutls/gnutls/issues/776#note_179180442"}}</script>

</p>
</div>
</body>
</html>