O SO / navegador trata o certificado CNAME com base no destino?

1

Eu tenho um site example.com, e www.example.comé simplesmente um CNAME para example.com.

example.compossui um certificado emitido por Lets Encrypt for example.comonly.

No servidor web (Nginx), http://example.comredirecionei (HTTP 301) para https://example.com.

No Safari no macOS, um visitante www.example.comreceberá um aviso de segurança de que o certificado está errado, porque é emitido example.come não www.example.com.

No Windows Chrome, parece que não existe esse aviso.

Qual deve ser o comportamento correto?

Velhote
fonte
Para ser claro, quando você diz CNAMEque quer dizer um registro de recurso DNS . Isso está correto?
JWW

Respostas:

1

Qual deve ser o comportamento correto?

O comportamento do Safari está correto, embora eu esteja um pouco confuso por que o Chrome não está apresentando um aviso, pois, na minha experiência, o Chrome está historicamente no limite de garantir que o conteúdo HTTPS seja legítimo em toda a cadeia.

Quanto ao seu certificado, se estiver definido para example.come não www.example.com, você receberá apenas HTTPS example.com. E se você estiver tentando usar um example.compara www.example.com`, o navegador o alertará sobre uma incompatibilidade.

Isso ocorre porque, no final do dia-a wwwno www.example.comé apenas uma convenção histórica e que wwwé apenas um subdomínio que poderia realmente apontar para qualquer lugar. Assim, o aviso. Como o site ClickSSL afirma claramente:

SSL é um protocolo baseado em criptografia. Protegerá esse domínio apenas para o qual foi emitido. Portanto, se o certificado SSL for emitido para um domínio não www, ele protegerá somente esse domínio.

Portanto, se você deseja HTTPS nos dois domínios, definitivamente precisa de um certificado example.come também www.example.com.

JakeGould
fonte