我们有一个通配符证书,适用于我们在这里工作中使用的几个云端主机(全部或大部分都绑定到 S3 存储桶),但是当使用 SSL 访问时,我的浏览器会出现 NET::ERR_CERT_COMMON_NAME_INVALID。
以下是完整信息:
你的连接不是私人的
攻击者可能试图从 api.assets.portablenorthpole.com 窃取您的信息(例如密码、消息或信用卡)。NET::ERR_CERT_COMMON_NAME_INVALID
此服务器无法证明它是 api.assets.portablenorthpole.com;其安全证书来自 *.portablenorthpole.com。这可能是由于配置错误或攻击者拦截您的连接造成的。
奇怪的是,“https://assets.portablenorthpole.com/“并且那个使用相同的 SSL。两者都使用 SNI 并具有类似的配置,但其中一个无法正确响应。
您能提示一下我应该搜索什么吗?
答案1
通配符证书*仅允许正确匹配主机名最左侧的单个元素。
如果通配符是所呈现标识符中最左边标签的唯一字符,则客户端不应该与除引用标识符最左边标签之外的任何内容进行比较(例如,*.example.com 将匹配 foo.example.com,但不匹配 bar.foo.example.com 或 example.com)。
https://www.rfc-editor.org/rfc/rfc6125#section-6.4.3