通配符SSL子域转发

Question

我的网站有问题。我有一个网络服务，当用户创建一个帐户，他们得到自己的子域（例如：john.example.com）

一切正常完美的预期，我有一个通配符SSL证书，可以很好地工作时：

https://john.example.com/

但

，如果用户输入www.john.example.com铬停止对站点的连接，并显示一个SSL错误，指出：

无法连接至真实www.john.example.com

某件事正在干扰您与您的安全连接 www.john.example.com。

尝试在几分钟内或在切换到新的网络后重新加载此页面。如果您最近已连接到新的Wi-Fi网络，请在重新加载之前完成 登录。

如果您现在访问www.john.example.com，您可能会与攻击者分享 隐私信息。为了保护您的隐私，Chrome 将不会加载页面，直到它可以建立与真实www.john.example.com的 的安全连接。

这只发生在铬。如果我在Firefox或IE中访问URL www.john.example.com，则连接完成，并且htaccess将用户转发到https://john.example.com，但Chrome并未给服务器一个机会。

如何为用户解决这个问题？

我必须为www。*。example.com购买另一个通配符SSL证书吗？

Answer 1

这是通配符SSL证书的固有限制 - 样*.example.com的*通配符组件只能替换单个主机名组分（像john），而不是多个级别（比如www.john）。您需要构建您的网站，以便它不会链接到这些子网域，并使用www;或者，如果必须的话，它不需要使用HTTPS。

您很可能无法获得对这些子域有效的通配符证书。 SSL CA很少愿意签署像您正在考虑的那样的异常通配符证书（www.*.example.com）。

Answer 2

我需要为www。*。example.com购买另一个通配符SSL证书吗？

即使你能买到这样的证书，浏览器也不会接受它。 通配符只允许在最左边的标签中，请参阅RFC6125第6.4.3节。这意味着，没有www.*.example.com，没有*.*.example.com但只有*.site.example.com。