ssl - 奇怪的 SSL 公用名不匹配

Question

今天我遇到了一个 cn 不匹配的奇怪案例。我有两个域:

kpmg.talentsource.rs 和www.kpmg.talentsource.rs

两者都将 prod.q.ssl.global.faSTLy.net 作为他们的 CNAME他们有相同的 A 记录和证书。

然而:

https://kpmg.talentsource.rs (好的)

https://www.kpmg.talentsource.rs (CN 不匹配)

---

https://www.ssllabs.com/ssltest/analyze.html?d=kpmg.talentsource.rs&s=151.101.65.62 https://www.ssllabs.com/ssltest/analyze.html?d=www.kpmg.talentsource.rs&s=151.101.65.62

注意:两者在CN和SAN中都没有kpmg.talentsource.rs

知道为什么会这样吗？

Answer 1

该证书的主题备用名称为 *.talentsource.rs(在许多其他不相关的名称中)。

根据 X.509/TLS 规则，* 仅匹配一个级别/标签，可以这么说，它没有越过点。所以 *.talentsource.rs 匹配主机名 kpmg.talentsource.rs 但不 www.kpmg.talentsource.rs，因此浏览器错误。

您需要添加 www.kpmg.talentsource.rs 或 *.kpmg.talentsource.rs 作为 SAN(注意它有 talentsource. rs 也已经在列表中)在此证书中或停止使用 www.kpmg.talentsource.rs (重定向不会解决问题，因为您仍然需要 TLS 握手才能完成首先在获取 HTTP Location: header 之前，因此您仍然需要适当的证书)。