我在Mac OS X 10.6.8上设置了以下自签名证书,并使其在Keychain Access中受到信任: * .la.com * .la.mx * .la.es * .la.ca * .la.com.ar * .la.co.nz * .la.us * .la.co.uk
然而,由于我无法理解* .la.us证书的原因,即使我在创建它并信任它时遵循完全相同的过程,也无法信任。事实上,如果我不信任,然后相信他们工作的每个证书,我在Chrome 43.0.2357.132(64位)&#34中得到绿色的垫锁;除了"对于* .la.us。
对于* .la.us我得到:
您的连接不是私密的
攻击者可能试图从www.la.us窃取您的信息(例如,密码,邮件或信用卡)。 NET_ERR_CERT_COMMON_NAME_INVALID
如果我点击高级,我会看到:
此服务器无法证明它是www.la.us;其安全证书来自* .la.us。 这可能是由于配置错误或攻击者拦截您的连接造成的。
如果我继续并点击红色挂锁,我看到:
服务器的证书与网址不符。
如果服务器的证书明确地告诉我它的www.la.us并且证书是针对 *。la.us ,它是如何与URL匹配的? ?
域 la.us 有什么特别之处吗?我已经多次重新创建了证书,多次重新进入MAMP Apache虚拟conf,并一次又一次地尝试了Keychain Access(删除了两者之间的证书)。有什么想法吗?
答案 0 :(得分:3)
.us名称空间内的域名有特殊规则,看起来Chrome正在执行这些规则。来自Wikipedia entry for .us:
两个字母的二级域名正式保留给每个美国州,联邦领土和哥伦比亚特区....
这些规则也反映在public suffix list中,您可以在其中找到la.us的特殊条目以及k12.la.us等各种子域。
这些特殊规则表明*.la.us命名空间没有单一所有者,因此您无法获得*.la.us的通配符证书。这类似于uk和co.uk命名空间,您无法获取*.co.uk的证书,只能获取*.la.co.uk的证书。请注意,并非所有浏览器都使用公共后缀列表中的所有规则来检查证书的主题。