我有一个客户在他的 www.website.com url 上有 ssl,但现在是 website.com url。因此,当他们访问https://website.com/admin-login.php 时,他们会看到 SSL 错误,指出它不属于该域。我的客户可以跳过此屏幕并继续访问该网站。
我的问题是,即使他们跳过此屏幕,SSL 是否会继续加密/保护所有相关内容,就好像它是网站的 www 版本一样?
加密仍然会发生,但用户将无法检查它是否由正确的一方完成,这对于确保通信安全至关重要。
实际上,证书验证 (RFC 5280/3280) 和主机名验证(RFC 2818 第 3.1 节和 RFC 6125)的目的是确保您与正确的一方进行通信。否则,您仍然可以使用加密进行通信,但是与您不打算与之交谈的一方(例如 MITM 攻击者)。
如果您有有效的证书,这里失败的是主机名验证。
最简单的解决方案是获取带有两个主题备用名称 (SAN) 的证书www.website.com,一个用于website.com. 这将使该证书同时对两台主机有效。
许多 CA 将这作为其正常服务的一部分(有和没有www.),有时是免费的,有时是额外收费的。
| 归档时间: |
|
| 查看次数: |
74 次 |
| 最近记录: |