我的StartCom证书有CN=opencpu.org和alt名称*.opencpu.org以及*.ocpu.io 。
但是在最新的chrome更新之后,Chrome将SSL证书标记为对第一个站点有效,但不是第二个。 为什么是这样? Chrome是否不再允许在单个证书上使用多个通配符?
在Chrome中查看导致问题的原因有点棘手,因为查看证书button已隐藏在菜单 (三个点)内> 更多工具… > 开发人员工具 >选项卡: 安全性 。
在那里,如果在识别主题备用名称 / DNS名称中的通配符时出现问题,您可能会看到错误不是SSL_ERROR_BAD_CERT_DOMAIN 。 因此, Chrome仍然支持单个证书上的多个通配符 。
错误可能是SSL_ERROR_UNKNOWN_CA_ALERT因为Google在2017年1月发布的Chrome 56中删除了对StartCom证书的支持 ,而当前稳定的主版本是57.Mozilla Security Group在Firefox 51中同时做出了相同的决定 。如果您的证书正常工作之前,您已经在使用浏览器的停用版本,并且在更新中至less跳过了一个主版本。
不要再使用start.com证书。 他们不被当前的浏览器所信任,包括Chrome,Firefox和Safari,甚至目前仍在使用的证书在未来将是不可信的。
https://security.googleblog.com/2016/10/distrusting-wosign-and-startcom.html
让我们encryption是一个很好的,完全免费的select,虽然他们不支持通配符证书。