Предупреждение о сертификате SSL с сертификатом UCC и несколькими SAN
Я работаю с клиентом, который хочет установить безопасность SSL для пары страниц своего сайта. Он использует общий хостинг GoDaddy, а текущий сайт, над которым мы работаем, находится на поддомене основной учетной записи хостинга:
Пример:
(Primary) www.coolsite.com
(New one) www.completelydifferent.com
www.someothersubdomain.com
www.anotherone.com
Когда он приобрел сертификат SSL, он купил его для основного домена (www.coolsite.com), хотя безопасность необходима для нового домена (www.completelydifferent.com). Это не было большой проблемой, потому что я смог добавить Альтернативное имя субъекта к сертификату, чтобы включить новый домен. Я проверил оба сайта с помощью средства проверки SSL, и они оба работают правильно.
Однако у меня возникают проблемы, когда я пытаюсь использовать SSL. У меня есть все ссылки на страницу регистрации, связанную с абсолютным URL (https://www.completelydifferent.com/register.php), но когда я проверил ссылку для проверки безопасности, я получил следующую ошибку:
This is probably not the site you are looking for!
You attempted to reach completelydifferent.com, but instead you actually reached a server
identifying itself as www.coolsite.com.
This may be caused by a misconfiguration on the server or by something more
serious. An attacker on your network could be trying to get you to visit a fake
(and potentially harmful) version of amazon.com. You should not proceed.
Я не уверен, почему я получаю эту ошибку, поскольку я добавил другое альтернативное имя субъекта, поэтому я не знаю, что делать, чтобы исправить это. Однако я знаю, что пользователи, скорее всего, будут напуганы этим страшным красным экраном, предупреждающим их об утечках безопасности.
Есть ли способ сделать это, не требуя от него покупки еще одного сертификата SSL?
РЕДАКТИРОВАТЬ: Вот скриншот с портала GoDaddy, на котором показан сертификат SSL. Два размытых URL-адреса вверху - это основной домен, а SAN внизу - это тот, где я хочу использовать SSL.
При добавлении альтернативных имен субъектов к сертификату применяются те же правила, что и для общего имени. В полный используемое доменное имя должно именно один из них.
В вашем случае вы используете домен www.completelydifferent.com но единственный SAN дается только как completelydifferent.com. Это недостаточно близко и вызовет предупреждение браузера, которое вы видели. Что сбивает с толку, так это то, что предупреждения браузера (я думаю, что это одинаково для всех браузеров) будут отображать CN сертификата в предупреждении, а не SAN, поэтому создается впечатление, что SAN не читается правильно.
Также полезно: openssl - это интерфейс командной строки для функций библиотеки openssl, который можно использовать для проверки сертификата: openssl x509 -in <cert file> -text покажет вам полный текст файла сертификата. (Некоторые сертификаты включают этот текст в файл)
Если вы покупаете UCC, то есть первичный fqdn, а затем 4 или намного больше fqdn.
Однако первичным идентификатором всегда будет первичный fqdn. Поэтому он предназначен только для UC.