Проверка имени хоста и сертификата (и фактически проверка того, что SSL вообще используется) является исключительной обязанностью клиента.
Проверка имени хоста выполняется клиентом, как указано в RFC 2818, на основе имени хоста, которое они запрашивают в своем URL-адресе. Независимо от того, основано ли разрешение DNS-имени хоста на записи CNAME или на чем-то еще, это не имеет значения.
Если пользователи вводят https://user1.theirsite.com/
в своем браузере, сертификат на целевом сайте должен быть действителен для user1.theirsite.com
.
Если у них есть собственный сервер для user1.theirsite.com
, отличный от user1.mysite.com
, запись DNS CNAME не имеет смысла. Предполагая, что два хоста фактически различны, они могут иметь собственный действительный сертификат для user1.theirsite.com
и выполнять перенаправление на https://user1.theirsite.com/
. Перенаправление также будет видно в адресной строке.
Если вы действительно хотите иметь CNAME от user1.theirsite.com
до user1.mysite.com
, они могут предоставить вам свой сертификат и закрытый ключ, чтобы вы также разместили его на своем сайте, используя указание имени сервера (при условии, что тот же порт и, конечно же, тот же IP-адрес). так как вы используете CNAME). Это будет работать для клиентов, которые поддерживают SNI. Однако для них был бы определенный риск, если бы они предоставили вам свои закрытые ключи (что обычно не рекомендуется).
person
Bruno
schedule
02.05.2012