我一直在使用在线SSL检查程序来检查多个网站的证书有效性。
我注意到的一件事是许多网站都有通配符证书 - 特别是那些托管在常见网站托管网站上的证书,例如goDaddy:*.onlinestore.godaddy.com
但这些网站有自定义域名,因此在验证SSL证书时,我会看到主机名与证书中列出的altnames不匹配的错误。
但是所有主流浏览器(测试过的Chrome,FF,IE和Safari)仍然将网站显示为安全。浏览器不关心域名是否未列在证书中,并且不是安全漏洞?
示例:https://www.sslshopper.com/ssl-checker.html#hostname=www.cinnamonmotif.com
答案 0 :(得分:1)
如果在域上安装了通配符证书,则浏览器仅检查证书有效性和通配符规则。只要此规则为真,则证书ID受信任,并且不会出现警告。
答案 1 :(得分:0)
如果您查看浏览器已解决的证书,您会发现它与sslshopper.com解决的不同。
当您进入现代浏览器时,客户端会发送TLS服务器名称指示扩展,并且该站点会注意到它应该提供cinnamonmotif.com证书。
SslShopper从*.onlinestore.godaddy.com看到了0x6068c7475ab4ee2a,证书Go Daddy Secure Certificate Authority - G2。
使用SNI,提供的证书为cinnamonmotif.com,来自0x3e0240d9425e8120的证书Go Daddy Secure Certificate Authority - G2。
浏览器看到不同的证书, 主机名匹配,这就是浏览器说它是合法连接的原因。