DNS是否重定向到意外子域上的SSL证书错误的解决方案？

Question

（类似于this question，但又有另一种扭曲）。

IIS 6，如果结果证明适用。

因此我们获得了为www.foo.com签名的证书，当然还有HTTPS请求foo.com抛出证书警告。一些问题：

• 为foo.com申请指向www.foo.com的DNS CNAME会解决问题吗？
• 如果没有，那么下一个最好的方法是什么？我已经看到了通配符证书并将SubjectAlternativeNames添加到证书中。每个都有利弊，或者两者都同等有效吗？
• 即使DNS CNAME的添加有效，它是“正确的”方法吗？

Answer 1

DNS CNAME不起作用 - 浏览器会根据证书验证URL中给出的主机名，并且对通过跟随CNAME到其他地方来解析主机名不感兴趣。

我不确定CA是否多发出通配符证书，或者对它们的支持是什么。如果CA准备这样做，则使用foo.com创建一个证书作为SubjectAlternativeName是一个选项。我认为浏览器对此的支持现在普遍存在。