2012-03-29 14 views
26

Se vado a www.example.com che ha un'immagine nella pagina che si collega a assets.example.com che è un CNAME per assets.example2.com.CNAME Certificati SSL

Riceverò il blocco verde anche se asset.example2.com non ha un certificato, ma assets.example.com lo fa?

risposta

49

Se la voce DNS utilizza un record CNAME o A non è importante. Ciò che conta è il nome host a cui il client sta tentando di connettersi. Deve corrispondere a uno dei Nomi alternativi oggetto nel certificato del server che fornisce tale risorsa (o, in caso contrario, deve corrispondere al RDN CN del DN oggetto del certificato).

Se https://www.example.com ingloba un'immagine per https://assets.example.com (fornendo entrambi sono serviti su HTTPS con certificati validi per ciascuno), e se non v'è alcun contenuto misto (nessuna risorsa caricata sopra http://, che non è JavaScript, nessuna immagine, nessun iframe,. ..) quindi si dovrebbe ottenere la barra verde/blu come appropriato.

Se assets.example.com è un CNAME per assets.example2.com e le richieste sono fatte per https://assets.example.com, questa macchina deve presentare un certificato valido per assets.example.com al cliente.


Inoltre, se più certificati devono essere utilizzati allo stesso tempo su questo indirizzo IP (e stessa porta), il supporto per Server Name Indication (SNI) può essere richiesto.

In alternativa, è possibile utilizzare un singolo certificato che supporta tutti questi nomi, in genere tramite più voci Nome soggetto alternativo (SAN) o eventualmente tramite nomi di caratteri jolly (che sono not recommended).

Questo è indipendente dal meccanismo di risoluzione DNS (record CNAME o A).

Problemi correlati