服务器 Gind.cn
  1. 服务器 Gind.cn
  3. IE / wget的问题将子域的SSL证书与主域的证书混淆
Intereting Posts
通过GPO将站点添加到受信任的站点 如何configuration对SonicWALL NSA 2400后面的多个子网的远程访问 Windows Server 2016或Cisco 1900路由器作为vpn设备用于与活动目录authentication的连接? 价格合理,多个terminal心跳软件 打击通配符扩展(2) 幸存Windows VM重启的进程? 高服务器负载 – 使用99.99%IO的 “服务器应该是SSL感知的,但没有configuration证书”错误 amavisd-new怎么叫spamassasin? 积极与消极的监测 将Vagrant服务器configuration为从其主机IP访问? 关于良好LDAP培训的build议,最好集中在OpenLDAP上 Cloudfront发布不会接受新的SSL证书 在Linux中脚本化Oracle任务 即使未定义GP,Windows 8.1也会在3次无效尝试后locking帐户

IE / wget的问题将子域的SSL证书与主域的证书混淆

我正在运行一个网站 ,使用Comodo EV证书对结帐stream程进行SSLauthentication。

我们还在整个网站上进行了Piwik网站分析跟踪,这是在一个stats子域中提供的。 为了防止混合域错误,Piwik可以通过HTTPS和HTTP访问 – 对于HTTPS,我们的Piwik子域使用(便宜得多)的Comodo PositiveSSL证书进行authentication。

这是奇怪的部分 – 当通过wget和某些版本的Internet Explorer访问主站点上的HTTPS页面时, stats.psychicbazaar.com证书似乎以某种方式被错误加载,导致IE中的“不匹配地址”警告,以及在wget: 

 ERROR: certificate common name `stats.psychicbazaar.com' doesn't match requested host name `www.psychicbazaar.com'.

这个问题不会发生在curl,Chrome或Firefox上。 例如,curl: 

 $ curl -Iv https://www.psychicbazaar.com/shop/checkout * <snip> * Connected to www.psychicbazaar.com (178.79.183.162) port 443 (#0) * successfully set certificate verify locations: * CAfile: none CApath: /etc/ssl/certs * SSLv3, TLS handshake, Client hello (1): * SSLv3, TLS handshake, Server hello (2): * SSLv3, TLS handshake, CERT (11): * SSLv3, TLS handshake, Server key exchange (12): * SSLv3, TLS handshake, Server finished (14): * SSLv3, TLS handshake, Client key exchange (16): * SSLv3, TLS change cipher, Client hello (1): * SSLv3, TLS handshake, Finished (20): * SSLv3, TLS change cipher, Client hello (1): * SSLv3, TLS handshake, Finished (20): * SSL connection using DHE-RSA-AES256-SHA * Server certificate: * subject: serialNumber=07440589; 1.3.6.1.4.1.311.60.2.1.3=GB; 1.3.6.1.4.1.311.60.2.1. 2=Greater London; businessCategory=Private Organization; C=GB; postalCode=EC24 4RQ; ST=Greater London; L=London; street=The Roma Building 32-38; O=Psychic Bazaar Ltd; OU=COMODO EV * start date: 2012-02-16 00:00:00 GMT * expire date: 2013-02-15 23:59:59 GMT * subjectAltName: www.psychicbazaar.com matched * issuer: C=GB; ST=Greater Manchester; L=Salford; O=COMODO CA Limited; CN=COMODO Extended Validation Secure Server CA * SSL certificate verify ok. > HEAD /shop/checkout HTTP/1.1 > User-Agent: curl/7.21.6 (x86_64-pc-linux-gnu) libcurl/7.21.6 OpenSSL/1.0.0e zlib/1.2.3.4 libidn/1.22 librtmp/2.3 > Host: www.psychicbazaar.com > Accept: */* > < <snip>

这里可能会发生什么 – 为什么当浏览器在主域上加载页面时,会出现读取和错误的子域名SSL证书? 任何帮助非常感谢! 

 # dig stats.psychicbazaar.com [...] ;; ANSWER SECTION: stats.psychicbazaar.com. 3600 IN A 178.79.183.162 [...] # dig www.psychicbazaar.com [...] ;; ANSWER SECTION: www.psychicbazaar.com. 3600 IN A 178.79.183.162 [...]

如果您使用的是同一个IP地址,您的Web服务器应该知道为TLS交换提供哪个证书? 这不会工作:

http://wiki.apache.org/httpd/NameBasedSSLVHosts

通常,在同一个IP地址和端口上托pipe多个SSL虚拟主机是不可能的。 这是因为Apache需要知道主机的名称才能select正确的证书来设置encryption层。 但是被请求主机的名称只包含在HTTP请求标头中,这些标头是encryption内容的一部分。 因此,在encryption已经协商之后才可用。