Certificati SSL CNAME

Se vado su www.example.com che ha un’immagine nella pagina che rimanda a assets.example.com che è un CNAME per assets.example2.com.

Riceverò il blocco verde anche se asset.example2.com non ha un certificato, ma assets.example.com lo fa?

Non importa se la tua voce DNS utilizza un record CNAME o A. Ciò che conta è il nome host a cui il client sta tentando di connettersi. Deve corrispondere a uno dei Nomi alternativi object nel certificato del server che fornisce tale risorsa (o, in caso contrario, deve corrispondere al RDN CN del DN object del certificato).

Se https://www.example.com incorpora un’immagine a https://assets.example.com (fornendo entrambi vengono offerti su HTTPS con certificati validi per ciascuno) e se non è presente alcun contenuto misto (nessuna risorsa caricata su http:// , che non è JavaScript, nessuna immagine, nessun iframe, …) allora dovresti ottenere la barra verde / blu come appropriato.

Se assets.example.com è un CNAME per assets.example2.com e le richieste vengono fatte a https://assets.example.com , questa macchina deve presentare un certificato valido per assets.example.com al client.


Inoltre, se è necessario utilizzare più certificati contemporaneamente su questo indirizzo IP (e sulla stessa porta), potrebbe essere necessario il supporto dell’indicazione SNI (Server Name Indication).

In alternativa, è ansible utilizzare un singolo certificato che supporta tutti questi nomi, in genere tramite più voci di Nome alternativo sobject (SAN) o, eventualmente, tramite nomi di caratteri jolly (che non sono consigliati ).

Questo è indipendente dal meccanismo di risoluzione DNS (record CNAME o A).