服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 我是否应该允许任何URL来validationSSL证书?
Intereting Posts
标准路由器后面的Windows 2003 VPN 在linux下挂载vmfs5? 当找不到path时如何更改帐户locking阈值 更改Apache服务器的内部IP地址 一段时间后,mod_pagespeed会忘记优化 启用来自retina.js Nginx的跨源脚本从另一个URL加载文件? 从btrfs快照中删除文件,仍然使用btrfs发送/接收? 简单的apache2从一个域redirect到另一个域 我的失败密码是否尝试到不同的域控制器累积? Apache在CentOS 5.7上从/ home / user / public_html读取 可接受的HTTP请求 – 响应延迟 我将如何设置我的lighttpd.conf以在特定的evhost虚拟主机上提供fastcgi应用程序? MySQL包升级(Debian apt-get)总是会因为mysql架构的变化而中断主 – 主复制 如何使域指向应用程序中的文件夹(Windows2008服务器) 使用Mailscanner和Postfix延迟传递邮件

我是否应该允许任何URL来validationSSL证书?

我正在configuration我公司的networking

有几个不同的访问级别,它们决定了用户可以访问哪种types的网站。

最低访问级别的用户应该只能访问几个网站,所以我创build了一个包含约10个URL的白名单,并将Web Filter设置为拒绝连接到不在列表中的任何URL。

它按预期工作,除了一些网站,如bizagi.com 。 当我试图连接到这个URL,虽然它是白名单,我得到以下错误:

SSL_ERROR_BAD_CERT_DOMAIN

这个问题肯定是在Webfilter上,因为如果我将其默认操作更改为允许未列入白名单的网站,则按预期工作。

我明白,我可以添加一个例外,但这听起来不像是正确的事情。

所以,我的问题是: 我是否应该将任何URL列入白名单,才能按预期对SSL证书进行身份validation? 如果是这样,哪个? 如果没有,还有什么我可以做的(除了添加一个例外呵呵)?

PS:我正在使用Cyber​​oam CR15ing

提前致谢。

我的怀疑是代理以某种方式代理SSL连接,并没有正确处理SNI 。 SSLLabs表示这个网站需要SNI,而且我以前也见过这种情况 – 非SNI客户最终看到基础证书,而bizagi在Azure中托pipe。 

$ openssl s_client -connect www.bizagi.com:443 --- Certificate chain 0 s:/CN=*.azurewebsites.net i:/C=US/ST=Washington/L=Redmond/O=Microsoft Corporation/OU=Microsoft IT/CN=Microsoft IT SSL SHA2 1 s:/C=US/ST=Washington/L=Redmond/O=Microsoft Corporation/OU=Microsoft IT/CN=Microsoft IT SSL SHA2 i:/C=IE/O=Baltimore/OU=CyberTrust/CN=Baltimore CyberTrust Root

VS 

 $ openssl s_client -connect www.bizagi.com:443 -servername www.bizagi.com CONNECTED(00000003) --- Certificate chain 0 s:/C=GB/ST=Buckinghamshire/L=Gerrards Cross,/O=BIZAGI LIMITED/CN=*.bizagi.com i:/C=US/O=Symantec Corporation/OU=Symantec Trust Network/CN=Symantec Class 3 Secure Server CA - G4 1 s:/C=US/O=Symantec Corporation/OU=Symantec Trust Network/CN=Symantec Class 3 Secure Server CA - G4 i:/C=US/O=VeriSign, Inc./OU=VeriSign Trust Network/OU=(c) 2006 VeriSign, Inc. - For authorized use only/CN=VeriSign Class 3 Public Primary Certification Authority - G5