我有一个客户,他的 www.website.com 网址上有 SSL,但现在 website.com 网址上有 SSL。因此,当他们访问https://website.com/admin-login.php,他们会看到 SSL 错误,指出它不属于该域。我的客户可以跳过此屏幕并继续访问该网站。
我的问题是,即使他们跳过这个屏幕,SSL 是否会继续加密/保护所有相关内容,就像它是网站的 www 版本一样?
答案1
加密仍会进行,但用户无法检查加密是否由正确的一方进行,而这对于确保通信的安全至关重要。
事实上,证书验证(RFC 5280/3280)和主机名验证(RFC 2818 第 3.1 节和 RFC 6125)的目的是确保您与正确的一方进行通信。否则,您仍然可以使用加密进行通信,但与您不打算交谈的一方(例如 MITM 攻击者)进行通信。
如果您有有效的证书,这里失败的是主机名验证。
最简单的解决方案是获取具有两个主题备用名称 (SAN) 的证书,一个用于www.website.com
,一个用于website.com
。这将使该证书同时对两个主机有效。
许多 CA 将此作为其正常服务的一部分(有或没有www.
),有时免费,有时需要额外收费。
答案2
是的,连接仍处于SSL
加密状态。警告是用于生成加密的证书不属于所访问的网站。(因此,它可能是伪造的,可能是恶意的迹象……或者是网站运营商SSL
在更新网站的时没有获得更新的证书url
。)
鉴于它们现在如此便宜,您的客户绝对应该SSL
为新的证书购买一个新证书url
,这将使该错误消失。