我需要帮助才能了解Chrome的行为是否正常,或者是因为我的错误。我使用自签名证书和子域名。
从https://preproduser.svtools.tp.XXX.it/#!/login/到另一个子域的Ajax查询返回错误:
OPTIONS https://preprodauth.svtools.tp.XXX.it/v1/authenticate net::ERR_INSECURE_RESPONSE
这两个应用程序都由具有此证书的Nging反向代理服务:
# openssl x509 -noout -certopt no_sigdump,no_pubkey -text -in selfsigned.svtools.tp.XXX.it.crt
Certificate:
Data:
Version: 3 (0x2)
Serial Number: 15659850292680964857 (0xd952f6df2b0bbaf9)
Signature Algorithm: sha256WithRSAEncryption
Issuer: C=IT, ST=Italia, L=YYY, O=XXX, CN=*.svtools.tp.XXX.it
Validity
Not Before: Apr 2 18:36:50 2017 GMT
Not After : Mar 31 18:36:50 2027 GMT
Subject: C=IT, ST=Italia, L=YYY, O=XXX, CN=*.svtools.tp.XXX.it
X509v3 extensions:
X509v3 Basic Constraints:
CA:FALSE
X509v3 Key Usage:
Digital Signature, Non Repudiation, Key Encipherment
X509v3 Subject Alternative Name:
DNS:svtools.tp.XXX.it, DNS:preproduser.svtools.tp.XXX.it, DNS:preprodauth.svtools.tp.XXX.it
我在Chrome上看到证书有SAN,而Chrome告诉我 ERR_CERT_AUTHORITY_INVALID (预期行为)。
问题:在打开https://preproduser.svtools.tp.XXX.it/之前接受安全证书问题后,我预计https://preprodauth.svtools.tp.XXX.it/不会再出现问题。 Chrome仍然抱怨安全问题。我可以避免这个吗?
的Riccardo
答案 0 :(得分:0)
虽然您可以覆盖有关ERR_CERT_AUTHORITY_INVALID的警告,但它只会在此主机名上完全覆盖此证书的警告,并且不会自动将此证书信任任何其他主机。
想象一下,否则就是这样:在这种情况下,中间攻击者中的某些人可以使用证书拦截与某些不重要的主机的连接,其中很多人只会覆盖警告,因为没有敏感数据。完成此操作后,攻击者可以使用相同的证书(现在受浏览器信任)拦截与重要主机的连接。这就是为什么任何证书豁免仅适用于明确豁免证书的特定主机名。