Мне интересно, будет ли сертификат SSL работать и приниматься в следующих случаях. В каждом из этих случаев одно DNS-имя возвращает запись CNAME для другого DNS-имени, и клиент подключается к серверу на основе псевдонима:
1) DNS-имя www.example.com возвращает запись CNAME для www.example2.com. Сервер по IP-адресу для www.example2.com работает веб-сервер. Веб-браузер подключается к сайту по имени https://www.example.com (преобразование в CNAME www.example2.com а затем на IP-адрес). Сертификат SSL, возвращаемый сервером, предназначен только для www.example2.com. Будет ли / должен ли браузер считать, что сертификат действителен для этого соединения? Определяется ли эта реализация на основе используемого браузера или поведение определяется стандартом?
2) DNS-имя mx.example.com возвращает запись CNAME для mx.example2.com. Сервер по IP-адресу для mx.example2.com работает SMTP-сервер с поддержкой SSL. Клиент SMTP (например, агент передачи почты) подключается к серверу, используя имя mx.example.com (который он разрешает в CNAME mx.example2.com а затем на IP-адрес). Сертификат SSL, возвращаемый сервером, предназначен только для mx.example2.com. Будет ли / должен ли клиент считать, что сертификат действителен для этого соединения? Определяется ли эта реализация на основе используемого клиента или такое поведение определяется стандартом?
3) DNS-имя imap.example.com возвращает запись CNAME для imap.example2.com. Сервер по IP-адресу для imap.example2.com работает сервер IMAP с поддержкой SSL. Почтовое приложение подключается к серверу, используя имя imap.example.com (который он разрешает в CNAME imap.example2.com а затем на IP-адрес). Сертификат SSL, возвращаемый сервером, предназначен только для imap.example2.com. Будет ли / должно ли почтовое приложение считать, что сертификат действителен для этого соединения? Определяется ли эта реализация на основе используемого приложения или это поведение определяется стандартом?
Единственное, что имеет значение для проверки сертификата, - это доменное имя, используемое для подключения. Поскольку это имя не меняется в DNS CNAME, вы получаете:
DNS-имя www.example.com ... веб-сервер ... сертификат, возвращаемый сервером, предназначен только для www.example2.com
Браузер выйдет из строя, но может дать вам возможность отменить это решение.
Сертификат DNS-имени mx.example.com ... SMTP ..., возвращаемый сервером, предназначен только для mx.example2.com
Почтовые клиенты, которые правильно проверяют сертификат, не работают, но многие почтовые клиенты имеют возможность игнорировать сбои сертификатов. Большинство почтовых серверов не проверяют сертификат должным образом и принимают что угодно.
DNS-имя imap.example.com ... IMAP .. Почтовое приложение подключается к серверу, используя имя imap.example.com
То же, что и с SMTP, то есть они не будут работать, если они правильно проверит сертификат, но у многих есть возможность игнорировать ошибки сертификата.