请问 IE 上的哪些设置可以阻止证书 CN 与主机名不同的网站?
例如我有一个网站 myhostname,但我的证书 CN 是 NotMyHostName。有些 IE 会阻止它并显示 404,所以我怀疑这与安全设置有关。
我可以知道那个特定的安全设置是什么吗?
答案1
没有这个设置。验证证书是否与访问的网站匹配是 TLS 和 HTTPS 的基本安全要求。如果你可以关闭它,那么整个“证书”的事情就完全没用了,因为你可以为 somerandomsite.foo.com 购买合法证书并冒充任何网站。
看RFC 2818部分3.1,它需要进行主机名检查或特定证书检查,就像 Firefox 中的“安全例外”一样。由于 IE 不支持此类“例外”,因此它必须始终检查 CN 和/或 subjectAltName。
如果您想对多个网站使用同一份证书,请在 subjectAltName 中列出所有网站。证书仍必须与网站匹配,但如果 subjectAltName 中包含 DNS 名称,则 CN 将被忽略。