在Google App Engine上使用HTTPS SSL时,裸域重定向失败

时间:2013-07-12 10:16:12

标签: google-app-engine ssl https forwarding

我们有一个网站:

www.feeltracker.com

这是在Google App Engine上运行

在Google App Engine上,我们有Naked Domain转发设置,因此:

http://feeltracker.com

重定向到

http://www.feeltracker.com

但是,当我们尝试在Chrome中打开以下地址时:

https://feeltracker.com(请注意HTTPS)

我们收到了一个Google错误页面,其中包含以下消息:

Google
404. That’s an error.

The requested URL / was not found on this server. That’s all we know.

有谁知道我们如何确保https://feeltracker.com重定向到www.feeltracker.com?

请注意,在Firefox中,我们在尝试打开https://feeltracker.com时会收到以下附加信息:

feeltracker.com uses an invalid security certificate.

The certificate is only valid for the following names:
*.google.com , *.android.com , *.appengine.google.com , *.cloud.google.com , *.google-analytics.com , *.google.ca , *.google.cl , *.google.co.in , *.google.co.jp , *.google.co.uk , *.google.com.ar , *.google.com.au , *.google.com.br , *.google.com.co , *.google.com.mx , *.google.com.tr , *.google.com.vn , *.google.de , *.google.es , *.google.fr , *.google.hu , *.google.it , *.google.nl , *.google.pl , *.google.pt , *.googleapis.cn , *.googlecommerce.com , *.gstatic.com , *.urchin.com , *.url.google.com , *.youtube-nocookie.com , *.youtube.com , *.youtubeeducation.com , *.ytimg.com , android.com , g.co , goo.gl , google-analytics.com , google.com , googlecommerce.com , urchin.com , youtu.be , youtube.com , youtubeeducation.com  

(Error code: ssl_error_bad_cert_domain)

请注意,我们使用上传的证书在Google App Engine上使用SNI SSL证书功能。 当我们通过http://www.digicert.com/help/运行SSL诊断时,我们得到以下信息:

Certificate does not match name feeltracker.com


Subject *.google.com
Valid from 02/Jul/2013 to 31/Oct/2013
Issuer  Google Internet Authority


Subject Google Internet Authority
Valid from 12/Dec/2012 to 31/Dec/2013
Issuer  Equifax

为什么https://feeltracker.com无法使用正确的证书的任何想法,而www.feeltracker.com和http://www.feeltracker.com按预期使用我们的SSL证书工作?

6 个答案:

答案 0 :(得分:26)

2015年9月16日更新

现在看来这可能按照Forum postIssue 10802

工作

以下适用的信息......

目前它不受支持。 naked domain redirect是仅针对http的解决方法,您可能会注意到您需要在DNS中放置的特定IP地址与ghs.googlehosted.com的方法和IP地址不同。

这似乎表明它是Google基础架构的不同部分,并且尚未设法使它们保持一致或协同工作。我还没有看到他们什么时候解决这个问题的任何细节,所以这可能是一个漫长的等待。例如Related post from 2009

Naked domain support存在“已确认”问题,因此当问题得到解决时,此问题也可能得到解决。

由于Google无法在裸域重定向器上正确提供您的证书,因此目前我看到以下选项:

  • 制作/提供您自己的反向代理(Apache httpd,varnish等)或使用反向代理服务(例如CloudFlare)并将您的裸域指向那里。您将在反向代理上安装SSL,客户端将为您的裸域连接(没有证书错误),并且您将代理所有流量到您的真实站点。根据您的使用情况,它可能会造成单点故障和成本。

  • 在您安装Web服务器,证书和重定向脚本到https://www.feeltracker.com的地方租一个便宜的VPS。在DNS中将您的裸域映射到该服务器。它可以是一个非常便宜的Linux服务器,因为重定向的要求非常低。

  • 查找支持https的域重定向服务,并允许您上传证书。可悲的是,我不知道。

  • 使用VIP(虚拟IP)SSL并在DNS中为您的裸域配置它。我没有测试过自己,但它似乎应该有效,尽管我确实找到了一条旧的评论here,但它可能没有。有人测试过吗?但是请注意,据我所知,DNS条目的TTL只有300(5分钟)而且谷歌没有提供建议,所以即使它确实有效,你也可能需要一些脚本来更新你的DNS条目,因为它很有可能不时变化。如果它确实有效,那么像DNSSimple这样的DNS提供商就有了API,所以它是可能的。

可能第二个选项最适用于您的情况,因为您似乎并不介意裸域(对许多人来说这是一个问题)。

我最近找到了一个很好的例子:https://khanacademy.org/他们似乎按照上面的第二个选项使用了Amazon EC2主机。

https://khanacademy.org/ Resolving khanacademy.org... 107.20.223.238 
Connecting to khanacademy.org|107.20.223.238|:443... connected. 
WARNING: cannot verify khanacademy.org’s certificate, issued by “/C=US/ST=Arizona/L=Scottsdale/O=GoDaddy.com, Inc./OU=http://certificates.godaddy.com/repository/CN=Go Daddy Secure Certification Authority/serialNumber=07969287”:   Unable to locally verify the issuer’s authority. WARNING: certificate common name “*.khanacademy.org” doesn’t match requested host name “khanacademy.org”. 
HTTP request sent, awaiting response... 301 Moved
Permanently Location: https://www.khanacademy.org/ [following]
https://www.khanacademy.org/ Resolving www.khanacademy.org... 
72.14.249.132 Connecting to www.khanacademy.org|72.14.249.132|:443... connected. 

whois 107.20.223.238
OrgName:        Amazon.com, Inc.
OrgId:          AMAZO-4
Address:        Amazon Web Services, Elastic Compute Cloud, EC2

截至2014年4月12日,Google似乎取得了一些进展,现在允许映射非Google Apps域(请参阅issue 8517),尽管SSL似乎不适用于该方法(请参阅issue 10794跟踪那个)。

答案 1 :(得分:7)

我找到的最佳免费SSL重定向服务是CloudFlare。为了让它发挥作用:

  1. 添加您的域并将您的名称服务器切换到CloudFlare(注册过程引导您完成)
  2. 添加转到CloudFlare设置并向下添加到SSL。将设置更改为'完整SSL(严格)'这要求您在重定向到的子域上拥有有效的证书(SNI正常工作)。
  3. 返回您的网站列表,再次选择域以及选项转到页面规则。添加'转发'将https://yourdomain.com/*重定向到https://www.yourdomain.com/$1的规则(将www替换为任何子域),请确保将重定向设置为301。
  4. 保存您的设置并坐下来等待一切传播。

    5. 完成。裸域的自由安全SSL重定向。

答案 2 :(得分:1)

GAE并未正式支持裸域。您所看到的是GAE的限制,您没有做错任何事情。 https://developers.google.com/appengine/kb/general#naked_domain

答案 3 :(得分:1)

显然不支持HTTPS上的裸域重定向。在官方文档中没有提到这一点。如果您查看支持文档,则会在屏幕截图中看到裸体重定向明确指出http://

根据Google网上论坛帖子判断,无法进行SSL裸域重定向:herehere

答案 4 :(得分:1)

使用https://www.301redirect.it/免费进行任何http或https重定向。

答案 5 :(得分:1)

我必须将域管理和名称服务器从GoDaddy(G-Suite)切换到Cloudflare,以解决此裸域重定向问题。我遵循了Parkers的说明,并使用了免费的Cloudflare帐户,并且在我关闭了重定向规则然后再将其打开之后,该帐户才起作用。我从完全(严格)切换回完全,因为您现在需要付费才能上传自己的SSL证书。我暂时可以使用Cloudflare的共享通用SSL证书。

相关问题
最新问题