无法将 https://*.cloudfront.net 添加到 IE "Trusted Sites"

Question

我正在尝试将所有必需的 AWS 控制台站点添加到 IE 受信任的站点，以便我们的服务器可以访问 AWS 控制台。 我已经通过 GPO/Registry 设置添加了所有其他带通配符的 AWS 域，但 https://*.cloudfront.net 的注册表设置不起作用。 当我尝试手动将其输入到 IE 中时，出现模式未被接受的错误。

我试过 Windows 10（IE 版本 11.557.17763），Windows Server 2016（IE 版本 11.557.17763，Server 2012 R2（IE 版本 11.0.9600.19301）。

如果我改变周围的字母，它就会起作用。例如 https://*.cloudfron.net 和 https://*.cloudfronts.net 有效。

我也在不同的域上尝试过，但也没有用。

Answer 1

IE 正在保护您免受危险的错误配置。

将 https://*.cloudfront.net 添加到受信任的站点是不合适的，就像将 https://*.com 添加到受信任的站点是不合适的一样。信任所有 *.com 的问题很明显，但为什么要信任 CloudFront？

原因是因为 任何人 都可以有一个 *.cloudfront.net 子域。 CloudFront is a service 由 AWS 客户使用，此外还被 AWS 控制台甚至 amazon.com 零售站点使用。

但是 IE 是如何知道应该限制这个特定域的呢？看起来是这样的：

IE on the Windows 10 Technical Preview switches the parsing of domain names to use the algorithms and domain list found at http://publicsuffix.org.

https://blogs.msdn.microsoft.com/ie/2014/10/01/internet-explorer-and-the-windows-10-technical-preview/

想必这仍然是事实。而且，您会发现 cloudfront.net 确实在 public 后缀列表中。 （在 public 后缀列表中，缺少 * 通配符并不意味着您可能假设的那样，因此该列表包含 cloudfront.net 但不包含 *.cloudfront.net 的事实并不重要, 这里。)

遗憾的是，您似乎需要确定要信任的特定 CloudFront 子域，并单独配置它们。

另见 https://blogs.msdn.microsoft.com/ieinternals/2009/09/18/understanding-domain-names-in-internet-explorer/

Answer 2

关闭增强的安全配置也可以解决此问题。