SSL通用名称不匹配

时间:2018-11-20 09:26:26

标签: ssl ssl-certificate

今天,我遇到了一个cn不匹配的怪异案例。我有两个域:

kpmg.talentsource.rs和 www.kpmg.talentsource.rs

都将prod.q.ssl.global.fastly.net作为其CNAME 它们具有相同的A记录和证书。

尽管如此:

https://kpmg.talentsource.rs(确定)

https://www.kpmg.talentsource.rs(CN不匹配)


https://www.ssllabs.com/ssltest/analyze.html?d=kpmg.talentsource.rs&s=151.101.65.62 https://www.ssllabs.com/ssltest/analyze.html?d=www.kpmg.talentsource.rs&s=151.101.65.62

注意:两者在CN和SAN中都没有kpmg.talentsource.rs

有任何想法为什么会这样?

1 个答案:

答案 0 :(得分:1)

证书的主题备用名称为*.talentsource.rs(在许多其他不相关的主题中)。

根据X.509 / TLS规则,*仅与一个级别/标签匹配,因此它不会与点交叉。因此,*.talentsource.rs与主机名kpmg.talentsource.rs匹配,但 www.kpmg.talentsource.rs与主机名匹配,因此浏览器出错。

您需要在此证书中添加www.kpmg.talentsource.rs*.kpmg.talentsource.rs作为SAN(请注意,列表中也已经有talentsource.rs),或者在以下位置停止使用www.kpmg.talentsource.rs全部(重定向无法解决问题,因为在获取HTTP Location:标头之前,您仍然需要先完成TLS握手,因此您仍然需要适当的证书)。