今天,我遇到了一个cn不匹配的怪异案例。我有两个域:
kpmg.talentsource.rs和 www.kpmg.talentsource.rs
都将prod.q.ssl.global.fastly.net作为其CNAME 它们具有相同的A记录和证书。
尽管如此:
https://kpmg.talentsource.rs(确定)
https://www.kpmg.talentsource.rs(CN不匹配)
https://www.ssllabs.com/ssltest/analyze.html?d=kpmg.talentsource.rs&s=151.101.65.62 https://www.ssllabs.com/ssltest/analyze.html?d=www.kpmg.talentsource.rs&s=151.101.65.62
注意:两者在CN和SAN中都没有kpmg.talentsource.rs
有任何想法为什么会这样?
答案 0 :(得分:1)
证书的主题备用名称为*.talentsource.rs(在许多其他不相关的主题中)。
根据X.509 / TLS规则,*仅与一个级别/标签匹配,因此它不会与点交叉。因此,*.talentsource.rs与主机名kpmg.talentsource.rs匹配,但不 www.kpmg.talentsource.rs与主机名匹配,因此浏览器出错。
您需要在此证书中添加www.kpmg.talentsource.rs或*.kpmg.talentsource.rs作为SAN(请注意,列表中也已经有talentsource.rs),或者在以下位置停止使用www.kpmg.talentsource.rs全部(重定向无法解决问题,因为在获取HTTP Location:标头之前,您仍然需要先完成TLS握手,因此您仍然需要适当的证书)。