我们在一台机器上使用 nginx 设置,并且在后端(当前)使用 apache 上的一个应用程序服务器。
对于多个域名,我们获得了 SSL 证书,但仅限于域名本身。因此,没有子域名 www。一切按预期运行,我们不使用https://www.domain.tld任何地方。但我们有客户手动输入这些内容,导致客户端浏览器出现警告。...还有一位新 SEO 人员坚持使用 SSL 来处理 www 子域。
我正在寻找什么:一种不需要为 20 多个域名提供新证书的创新解决方案。
我已经考虑过从 let's encrypt 获取证书来获取我们的 www 子域名,然后 301 到 domain.tld..但它仍处于测试阶段。
有任何想法吗 ?
答案1
如果不获取新的 SSL 证书,您无法解决这个问题。重定向不会有帮助,因为 SSL 证书正在接受检查前实际的 HTTP 会话开始。预计到达时间因此,您需要新的证书,无论是通配符证书还是具有主题备用名称 (SAN) 的证书,它们对 DNS 名称列表有效,而不仅仅是一个。易损件
如果可以在没有 SSL 证书错误的情况下进行重定向,那么就可以为诈骗者设置虚假重定向,例如拼写错误的银行网站 - 因此,从安全角度来看,您不能这样做是意料之中的正确行为。
答案2
问题:你有一个issue-type CAA 记录,表明该example.com域是经过认证的域。
解决方案:添加一个issuewild-type CAA 记录,其信息与您的其他 CAA 记录完全相同。这将匹配任何子域、、www.example.com等www2.example.com。