如果我访问www.example.com,该页面上的图像链接到assets.example.com,而assets.example.com是指向assets.example2.com的CNAME。
即使assets.example2.com没有证书,但assets.example.com有证书,我是否会获得绿色锁?
1个回答
108
无论您的DNS条目使用CNAME还是A记录都没有关系。重要的是客户端尝试连接的主机名。它必须与提供该资源的服务器的证书中的Subject Alternative Names之一匹配(或者,如果失败,则必须匹配证书的Subject DN的CN RDN)。
如果
如果
如果
https://www.example.com嵌入到https://assets.example.com的图像(提供两者都通过HTTPS提供并具有各自的有效证书),并且如果没有混合内容(没有加载http://的资源,即没有JavaScript、图像、iframe等),那么您应该得到相应的绿色/蓝色栏。如果
assets.example.com是指向assets.example2.com的CNAME,并且请求是发送到https://assets.example.com,则此计算机必须向客户端呈现对于assets.example.com有效的证书。
另外,如果在同一IP地址(和相同端口)上需要同时使用多个证书,则可能需要支持服务器名称指示(SNI)。
或者,可以使用支持所有这些名称的单个证书,通常通过多个主题备用名称(SAN)条目或可能通过通配符名称(不推荐)来实现。
这与DNS解析机制(CNAME或A记录)无关。
- Bruno
1
1实际上,由于通配符字符的位置规范不一致,使用通配符并不被推荐,这可能会导致可利用的实现。但是,它涉及到比整个左侧部分使用通配符更复杂的情况(例如 *.example.com,在我的看法中应该在任何情况下都是安全的)。 - Евгений Савичев
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接