CNAME SSL 证书

【问题标题】:CNAME SSL certificatesCNAME SSL 证书
【发布时间】:2012-04-13 16:21:16
【问题描述】:

如果我访问 www.example.com,页面上有一张图片链接到 assets.example.com,它是 assets.example2.com 的 CNAME。

即使 assets.example2.com 没有证书,但 assets.example.com 有证书,我会获得绿色锁吗?

【问题讨论】:

    标签: ssl dns certificate cname


    【解决方案1】:

    您的 DNS 条目使用 CNAME 还是 A 记录并不重要。重要的是客户端尝试连接的主机名。它必须与提供该资源的服务器的证书中的主题备用名称之一匹配(或者,如果不匹配,它必须匹配证书的主题 DN 的 CN RDN)。

    如果https://www.example.com 将图像嵌入到https://assets.example.com(前提是两者都通过HTTPS 提供,并且每个都具有有效证书)并且如果没有混合内容(没有通过http:// 加载资源,即没有JavaScript,没有图像, 没有 iframe, ...) 那么你应该得到适当的绿色/蓝色条。

    如果assets.example.comassets.example2.com 的CNAME,并且请求是发给https://assets.example.com,则此机器必须向客户端提供对assets.example.com 有效的证书。

    此外,如果需要在该 IP 地址(和同一端口)上同时使用多个证书,则可能需要支持服务器名称指示 (SNI)。

    或者,可以使用支持所有这些名称的单个证书,通常通过多个主题备用名称 (SAN) 条目,或者可能通过通配符名称(not recommended)。

    这与 DNS 解析机制(CNAME 或 A 记录)无关。

    【讨论】:

    • 实际上不推荐使用通配符,因为通配符的位置规范不一致,可能导致可利用的实现。但它涉及比整个最左侧通配符更复杂的情况(例如 *.example.com 在任何情况下都应该是安全的,恕我直言)。
    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2016-03-08
    • 2018-08-23
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode