1

A次のように同じパブリック IP アドレスを指す2 つのレコードがあります。

  • www.example.com IN A 192.*.*.*
  • example.com IN A 192.*.*.*

Verisign から に発行された証明書がありますwww.example.com。ユーザーが と入力するhttps://www.example.com/xyzと、すべてが正常に機能します。

しかし、 を使用するhttps://example.com/xyzと、ブラウザーはエラーをスローします。

「この Web サイトのセキュリティ証明書には問題があります」

そして、ユーザーが信頼して先に進みたいかどうかを決定するようユーザーに求めます。

ここでのベストプラクティスは次のとおりです。

  1. 証明書を変更してワイルドカード証明書を取得する*.example.com

  2. DNS で次の設定を使用します。

    • www.example.com IN A 192.*.*.*
    • example.com IN CNAME www.example.com

  3. .Net パイプラインに HTTP モジュールを記述して、ユーザーexample.com/xyzwww.example.com/xyz. 私はこれが推奨されていないことを知っています。

やっているようなことをしたいと思ってchase.comいます。入力chase.comすると、 に移動しhttps://www.chase.com/ます。

4

1 に答える 1

5

上記のどれでもない。との 2 つのドメインをカバーする SSL 証明書を取得www.mydomain.commydomain.comする必要があります。

あなたの提案に従って:

1) の単一ドメインにワイルドカード証明書を使用する*.mydomain.comと、プレフィックスなしで mydomain.com を開くとエラーが発生します。*.mydomain.comもちろん、およびのマルチドメイン証明書を取得できます。mydomain.com

2) SSL のために、CNAME や A - Web サーバーのアドレス (A レコード) を取得するために使用される DNS は問題ではありません。その後、ブラウザーは、SSL 証明書がアドレス バーに入力したものと正確に一致することを期待します。

3) これはhttp要求に対しては機能しますが、ユーザーがhttps://mydomain.comと入力すると、ブラウザーはリダイレクト要求を処理するにSSL 証明書をチェックし、それでも警告が表示されます。

PS CA業界が完全にねじ込まれているため、この問題があります。それらの製品ページはすべて、「超 256 ビット暗号化」(証明書は暗号化の強度とは関係ありません)、モバイル サポート (モバイルでもメインフレームでも、証明書はすべて同じです)、「無料のサイト シールが含まれています」(サイト シールは、サイトに配置される CA 広告の素晴らしい名前です)。

それが CRL か OCSP であるか、またはどのドメイン名がカバーされているかなど、重要でないことはすべて言及されていません。

于 2012-06-22T14:54:28.320 に答える