通配符SSL子域轉發

Question

我的網站有問題。我有一個網絡服務，當用戶創建一個帳戶，他們得到自己的子域（例如：john.example.com）

一切正常完美的預期，我有一個通配符SSL證書，可以很好地工作時：

https://john.example.com/

但

，如果用戶輸入www.john.example.com鉻停止對站點的連接，並顯示一個SSL錯誤，指出：

無法連接至真實www.john.example.com

某件事正在干擾您與您的安全連接 www.john.example.com。

嘗試在幾分鐘內或在切換到新的網絡後重新加載此頁面。如果您最近已連接到新的Wi-Fi網絡，請在重新加載之前完成 登錄。

如果您現在訪問www.john.example.com，您可能會與攻擊者分享 隱私信息。爲了保護您的隱私，Chrome 將不會加載頁面，直到它可以建立與真實www.john.example.com的 的安全連接。

這隻發生在鉻。如果我在Firefox或IE中訪問URL www.john.example.com，則連接完成，並且htaccess將用戶轉發到https://john.example.com，但Chrome並未給服務器一個機會。

如何爲用戶解決這個問題？

我必須爲www。*。example.com購買另一個通配符SSL證書嗎？

Answer 1

這是通配符SSL證書的固有限制 - 樣*.example.com的*通配符組件只能替換單個主機名組分（像john），而不是多個級別（比如www.john）。您需要構建您的網站，以便它不會鏈接到這些子網域，並使用www;或者，如果必須的話，它不需要使用HTTPS。

您很可能無法獲得對這些子域有效的通配符證書。 SSL CA很少願意簽署像您正在考慮的那樣的異常通配符證書（www.*.example.com）。

Answer 2

我需要爲www。*。example.com購買另一個通配符SSL證書嗎？

即使你能買到這樣的證書，瀏覽器也不會接受它。 通配符只允許在最左邊的標籤中，請參閱RFC6125第6.4.3節。這意味着，沒有www.*.example.com，沒有*.*.example.com但只有*.site.example.com。