Cname oder A-Eintrag für domains mit ssl-Zertifikat www.mydomain.com
Wir haben zwei A
records zeigen auf dieselbe öffentliche IP-Adresse wie:
www.example.com IN A 192.*.*.*
example.com IN A 192.*.*.*
Haben wir Zertifikat von Verisign ausgestellt, um www.example.com
. Nun, wenn der Benutzer Arten https://www.example.com/xyz
wird, funktioniert alles wie erwartet.
Aber wenn wir https://example.com/xyz
, der browser gibt eine Fehlermeldung aus:
"Es gibt ein problem mit dem Sicherheitszertifikat dieser website"
Und fragt den Benutzer, um Entscheidung zu treffen, wenn Sie Vertrauen und möchten, gehen Sie weiter.
Nun, was soll werden best-practice-hier:
- Ändern-Zertifikat und bekommen wildcard-Zertifikat
*.example.com
-
Verwenden Sie folgende Einstellung bei DNS:
www.example.com IN A 192.*.*.*
example.com IN CNAME www.example.com
-
Schreiben Sie eine HTTP-Modul in .Net-pipeline umleiten Benutzer, wenn Sie Typ
example.com/xyz
zuwww.example.com/xyz
. Ich weiß, das ist nicht zu empfehlen.
Wir würden gerne etwas machen, wie chase.com
tut. Wenn Sie chase.com
es dauert, Sie zu https://www.chase.com/
.
Du musst angemeldet sein, um einen Kommentar abzugeben.
Keines der oben genannten. Sollten Sie bekommen SSL-Zertifikat umfasst zwei Domänen:
www.mydomain.com
undmydomain.com
.Wie pro Ihre Vorschläge:
1) wildcard-Zertifikat für eine einzelne Domäne von
*.mydomain.com
immer noch geben Sie eine Fehlermeldung beim öffnen mydomain.com ohne Präfix. Natürlich können Sie Holen Sie sich ein multidomain-Zertifikat für*.mydomain.com
undmydomain.com
2) aus Gründen der SSL, ist es egal, CNAME-oder A - DNS verwendet, um die Adresse (A record) Ihres Webservers, danach browser immer noch erwartet, dass SSL-Zertifikat genau übereinstimmen, was Sie in die Adressleiste eingeben.
3), die funktionieren würde für http Anfragen, aber wenn der Benutzer die Typen https://mydomain.com, browser prüft SSL-Zertifikat vor es verarbeitet die Umleitung Anfrage, und wird immer noch die Warnung.
P. S. Sie haben dieses problem nicht, da CA-Industrie ist ganz eingeschraubt. Ihre Produkt-Seiten sehen alle aus, wie "super-256-bit-Verschlüsselung" (Zertifikat haben nichts zu tun mit Verschlüsselung Stärke), die mobile-Unterstützung (sei es mobile oder mainframe, Zertifikat, ist alles das gleiche), und "eine Kostenlose Website-Siegel enthalten" (site seal ist ein großer name für ein CA-Werbung auf Ihrer Website platziert).
Alle nicht wichtigen Dingen wie ist es CRL-oder OCSP-oder die domain-Namen-es deckt überhaupt nie erwähnt.
www.example.com
undexample.com
wieder und wieder, CA-Bastarde vergessen, es zu erwähnen - haben Sie sich an den support wenden, um zu wissen, was Sie tatsächlich bekommen.