รักษาความปลอดภัย URL ที่มีบันทึก CNAME

ฉันมีไซต์ที่มีโดเมนย่อยสำหรับผู้ใช้แต่ละรายและมี Wildcard SSL Cert

https://user1.mysite.com

https://user2.mysite.com

คำถามคือใครสามารถตั้งค่าบันทึก cname เช่น user1.theirsite.com -> user1.mysite.com และยังคงใช้ https ได้หรือไม่

จะใช้งานได้หรือไม่หากพวกเขาติดตั้ง SSL Cert บนเซิร์ฟเวอร์เพื่อรักษาความปลอดภัยการเชื่อมต่อ

ขอบคุณ


ssl dns cname
person bones    schedule 02.05.2012    source แหล่งที่มา
comment
หากพวกเขาใช้ CNAME บนเซิร์ฟเวอร์เพื่อชี้ไปยังของคุณ พวกเขาจะไม่ได้รับการติดต่อเพื่อขอใบรับรอง SSL ตั้งแต่แรก... ใช่ไหม คุณกังวลเรื่องอะไรเป็นพิเศษ?   -  person sarnold    schedule 02.05.2012
comment
ผู้ใช้จะเห็นว่าการเชื่อมต่อไม่น่าเชื่อถือ   -  person bones    schedule 02.05.2012

คำตอบ (3)


arrow_upward
13
arrow_downward

วิธีที่ดีที่สุดสำหรับสิ่งนี้คือถ้าพวกเขาตกลง กับคุณ เพื่อให้ใบรับรอง SSL ของคุณรวม "นามแฝง" เป็นส่วนขยาย Subject Alternate Name ในใบรับรอง ของคุณ X.509

นี่เป็นแนวทางที่ CDN บางแห่งใช้เมื่อโฮสต์ https ไซต์สำหรับไคลเอ็นต์ โดยใส่ชื่อไซต์ที่รู้จักทั้งหมดที่โฮสต์บนเซิร์ฟเวอร์เดียวไว้ในใบรับรอง SSL ขนาดใหญ่ใบเดียว จากนั้นไคลเอ็นต์จะใช้ CNAME เพื่อชี้โดเมนของตนไปที่ CDN ที่ถูกต้อง เซิร์ฟเวอร์

person Alnitak    schedule 04.05.2012
comment
ไม่ใช่ตัวเลือกที่ไม่ดีแน่นอน โดยมีหน้าที่รับผิดชอบเช่นเดียวกับการได้รับใบรับรอง + คีย์ส่วนตัว (และสามารถทำให้ขั้นตอนการสมัครซับซ้อนมากขึ้น) แต่สามารถทำงานได้โดยไม่ต้องใช้ SNI - person Bruno; 04.05.2012
comment
สิ่งนี้สามารถทำงานได้ ตัวเลือกที่ฉันเห็นใน godaddy มีทั้ง SSL โดเมนหลายโดเมนหรือ SSL โดเมนย่อยไม่จำกัด มีคอมโบหนึ่งหรือฉันจะใช้สอง? - person bones; 04.05.2012
comment
ใบรับรอง SSL ขนาดใหญ่ใบเดียวจะใหญ่เกินไปไม่ได้หรือ จะเกิดอะไรขึ้นถ้ามีลูกค้า 1,000 ราย? - person KajMagnus; 09.07.2012

arrow_upward
12
arrow_downward

การตรวจสอบชื่อโฮสต์และใบรับรอง (และในความเป็นจริง การตรวจสอบว่ามีการใช้ SSL เลย) ถือเป็นความรับผิดชอบของลูกค้าแต่เพียงผู้เดียว

ไคลเอนต์จะตรวจสอบชื่อโฮสต์ตามที่ระบุไว้ใน RFC 2818 ตามชื่อโฮสต์ที่พวกเขาร้องขอใน URL ไม่ว่าการแก้ไข DNS ของชื่อโฮสต์จะขึ้นอยู่กับรายการ CNAME หรือสิ่งอื่นใดที่ไม่เกี่ยวข้อง

หากผู้ใช้พิมพ์ https://user1.theirsite.com/ ในเบราว์เซอร์ ใบรับรองบนไซต์เป้าหมายควรจะถูกต้องสำหรับ user1.theirsite.com

หากพวกเขามีเซิร์ฟเวอร์ของตัวเองสำหรับ user1.theirsite.com ซึ่งต่างจาก user1.mysite.com รายการ DNS CNAME ก็คงไม่สมเหตุสมผล สมมติว่าทั้งสองโฮสต์มีความแตกต่างกันอย่างมีประสิทธิภาพ ทั้งสองโฮสต์อาจมีใบรับรองที่ถูกต้องของตนเองสำหรับ user1.theirsite.com และทำการเปลี่ยนเส้นทางไปที่ https://user1.theirsite.com/ การเปลี่ยนเส้นทางจะปรากฏในแถบที่อยู่ด้วย

หากคุณต้องการมี CNAME ตั้งแต่ user1.theirsite.com ถึง user1.mysite.com จริงๆ พวกเขาอาจจะสามารถให้ใบรับรองและคีย์ส่วนตัวแก่คุณได้ เพื่อที่คุณจะได้โฮสต์มันไว้บนเว็บไซต์ของคุณด้วย โดยใช้การระบุชื่อเซิร์ฟเวอร์ (สมมติว่ามีพอร์ตเดียวกัน และแน่นอนว่าที่อยู่ IP เดียวกัน) เนื่องจากคุณใช้ CNAME) สิ่งนี้จะใช้ได้กับไคลเอนต์ที่รองรับ SNI อย่างไรก็ตาม อาจมีความเสี่ยงบางประการในการให้คีย์ส่วนตัวแก่คุณ (ซึ่งโดยทั่วไปไม่แนะนำ)

person Bruno    schedule 02.05.2012
comment
นี่เป็นเรื่องน่าผิดหวัง ฉันเดาว่าฉันจะต้องอยู่ห่างจาก https แล้วเปลี่ยนเส้นทางตามที่จำเป็น - person bones; 02.05.2012

arrow_upward
0
arrow_downward

ต่อไปนี้ได้รับการตั้งค่าและทำงาน:

รายการ DNS สำหรับ a.corp.com -> CNAME b.corp2.com -> A 1.2.3.4

haproxy ที่ 1.2.3.4 จะให้บริการใบรับรองสำหรับ a.corp.com และไซต์โหลดได้ดีจากแบ็กเอนด์ของเว็บเซิร์ฟเวอร์

ดังนั้นบนเซิร์ฟเวอร์ของคุณ คุณจะต้องมีใบรับรอง user1.theirsite.com และมันจะใช้งานได้

person ffghfgh    schedule 19.01.2016