关于捕获所有 https 传入但未安装证书的建议

关于捕获所有 https 传入但未安装证书的建议

我正在尝试想出一种优雅的方式来处理我们遇到的 SSL / HTTPS 问题。我已阅读这个问题但就我而言,这引出了一个更大的问题。

假设我的服务器上安装了这些域,每个域都有自己的 vhost 配置:

foo.com
bar.com

foo我为和都安装了 SSL bar。但拥有 的客户也有一个他们想转发到 的foo域。唯一的问题是没有安装 SSL。现在通常在小型环境中,答案是安装证书——这只需要几美元和 10 分钟的工作量。但是当你有 4000 多个域,并且“转发”域至少是这个的两倍时。它很快就会变得难以控制。widget.comfoo.comwidget.comwidget

https我想知道,如果有人手动将 放在前面,所有这些转发域的自签名证书是否至少能让我通过 SSL 不匹配屏幕widget.com?如果自签名不起作用,有什么优雅的解决方案可以https://widget.com至少不出现SSL Mismatch错误?有可能吗?

答案1

使用自签名证书是个坏主意。大多数人不会也不应该点击查看有关坏证书的消息。浏览器不断让人们更难这样做。

您可以为每个域名购买证书。或者购买一个列出了所有域名的 SAN 证书。

或者你也可以使用让我们加密并获得免费的、可自动更新的可信证书。这就是我要走的路。如果你实际上谈论的是 4000 个域,那么你需要查看 letsencrypt 的 API 速率限制,并确保你不会超过这个限制,但我认为他们的限制相当宽松。

或者不要自己托管所有重定向域。我认为 Cloudflare 可以为您做到这一点,包括 SSL 证书,要么非常便宜,要么可能免费。可能有类似的服务可以做同样的事情。

相关内容