如果我访问www.example.com,该页面上的图片链接到assets.example.com,该资产是assets.example2.com的CNAME。
即使assets.example2.com没有证书,我也会获得绿色锁,但assets.example.com会这样做吗?
答案 0 :(得分:64)
您的DNS条目是使用CNAME还是A记录无关紧要。重要的是客户端尝试连接的主机名。它必须与提供该资源的服务器的证书中的一个主题备用名称匹配(或者,如果失败,它必须与证书的主题DN的CN RDN匹配)。
如果https://www.example.com将图片嵌入https://assets.example.com(提供两者都通过HTTPS提供,并为每个图像提供有效证书),并且没有混合内容(没有资源加载http://,那么没有JavaScript,没有图像,没有iframe,......)那么你应该得到适当的绿色/蓝色条。
如果assets.example.com是assets.example2.com的CNAME并且请求发送到https://assets.example.com,则此计算机必须向客户端提供对assets.example.com有效的证书。
此外,如果需要在此IP地址(和同一端口)上同时使用多个证书,则可能需要支持服务器名称指示(SNI)。
或者,可以使用具有支持所有这些名称的单个证书,通常通过多个主题备用名称(SAN)条目,或者可能通过通配符名称(not recommended)。
这与DNS解析机制(CNAME或A记录)无关。