appengine 上的通配符子域通过 Firefox 上的 https答案

【问题标题】：Wildcard subdomains on appengine over https on firefoxappengine 上的通配符子域通过 Firefox 上的 https
【发布时间】：2011-08-09 00:10:33
【问题描述】：

当我使用 chrome 访问 https://wild.rileylark.appspot.com 时，我会看到漂亮的“这会很好 ”图标。当我使用 firefox 4 时，我收到“omg，you're effed”消息：

wild.rileylark.appspot.com 使用安全证书无效。

证书仅对以下名称： *.appspot.com ， *.*.appspot.com ，appspot.com

这正常吗？
我能做些什么来解决这个问题？

【问题讨论】：

查看hanselman.com/blog/…
但看起来 appengine 使用的证书明确涵盖了 *.appspot.com 和 *.*.appspot.com...我很难过！
猜测，Firefox 不能正确解释双通配符地址。 ://
顺便说一句，“非 appspot.com 域上的 SSL 访问”目前在 GAE 的甲板路线图上：code.google.com/appengine/docs/roadmap.html
是的，自 2010 年 MOY 以来已到期“2010 年 EOY”，所以我在没有任何假设的情况下继续前进。第二个可用，我们将切换。希望它能支持通配符 SSL 证书！

标签： google-app-engine firefox ssl https wildcard-subdomain

【解决方案1】：

请注意，2013 年 4 月，Google 停止为在 appspot.com 上托管的双通配符域（即 ..appspot.com）颁发 SSL 证书。如果您依赖此类 URL 对您的应用程序进行 HTTPS 访问，请更改任何应用程序逻辑以使用“-dot-”而不是“.”。例如，要访问应用程序“myapp”的版本“1”，请使用“https://1-dot-myapp.appspot.com”而不是“https://1.myapp.appspot.com”。如果您继续使用“https://1.myapp.appspot.com”，则证书将不匹配，这将导致任何希望 URL 和证书完全匹配的 User-Agent 出错。

参考：https://cloud.google.com/appengine/docs/python/modules/

【讨论】：

【解决方案2】：

这个限制的解决方法现在是described in docs：使用-dot- 代替子域名之间的点，例如https://wild-dot-rileylark.appspot.com

【讨论】：

这是最简单的解决方法，无需重新配置即可立即解决问题。起初我认为它需要在 yaml 中进行一些调整才能激活。感谢您的提示。

【解决方案3】：

所以这里的具体条件是证书上的名字是*.appspot.com，而*.*.appspot.com出现在证书的Subject Alternate Names字段中。

A rejected Chrome bug covers this exact scenario。在其中，受访者表示 Chrome 故意不支持这一点，points to Firefox source code suggesting the same，并声称两者都遵循 IETF 推荐的RFC 2818 实施。

【讨论】：