1

我们有两条A记录指向相同的公共 IP 地址:

  • www.example.com IN A 192.*.*.*
  • example.com IN A 192.*.*.*

我们有威瑞信颁发的证书www.example.com。现在,当用户键入时https://www.example.com/xyz,一切正常。

但是当我们使用 时https://example.com/xyz,浏览器会抛出一个错误:

“本网站的安全证书有问题”

并要求用户做出决定,如果他们信任并想要继续。

现在应该是这里的最佳实践:

  1. 更改证书并获取通配符证书*.example.com

  2. 在 DNS 中使用以下设置:

    • www.example.com IN A 192.*.*.*
    • example.com IN CNAME www.example.com

  3. 在 .Net 管道中编写一个 HTTP 模块以重定向用户,如果他们example.com/xyz键入www.example.com/xyz. 我知道这是不推荐的。

我们想做一些类似chase.com正在做的事情。如果您键入chase.com,它将带您到https://www.chase.com/.

4

1 回答 1

5

以上都不是。您应该获得涵盖两个域的 SSL 证书:www.mydomain.commydomain.com.

根据您的建议:

1) 在打开没有任何前缀的 mydomain.com 时,拥有单个域的通配符证书*.mydomain.com仍然会给您一个错误。您当然可以获得多域证书,*.mydomain.com并且mydomain.com

2)为了 SSL,CNAME 或 A 无关紧要 - DNS 用于获取您的网络服务器的地址(A 记录),之后浏览器仍然希望 SSL 证书与您在地址栏中键入的内容完全匹配。

3) 这适用于http请求,但是当用户键入https://mydomain.com时,浏览器会在处理重定向请求之前检查 SSL 证书,并且仍会显示警告。

PS你有这个问题,因为CA行业完全搞砸了。他们的产品页面都看起来像“超级 256 位加密”(证书与加密强度无关)、移动支持(无论是移动还是大型机,证书都是一样的),以及“包含免费站点封条”(网站印章是放置在您网站上的 CA 广告的好名字)。

所有不重要的事情,比如它是 CRL 还是 OCSP,或者它涵盖了哪些域名——从未提及。

于 2012-06-22T14:54:28.320 回答