为什么证书域名不匹配的https网站会被浏览器标记为'secure'?
Why can a https website with a mismatching certificate domain name be marked as 'secure' by browser?
我有基本的SSL知识,可以配置网站https证书。
我曾经相信
A 'secure' https website much have a matching(at least a wildcard
matching) certificate domain name
直到今天。
以google.com为例:
- 通过Chrome 证书查看器:
- 通过 openssl
openssl s_client -connect google.com
得到相同的结果:
... depth=0 CN = *.google.com ...
这对我来说是正常的。
但我刚刚发现(在期望 cn.bing.com actually) a website bing.cn,
时这是错误的
- 通过Chrome 证书查看器:
- 通过 openssl
openssl s_client -connect bing.cn
得到不同的结果:
... depth=0 CN = *.wordpress.com ...
这超出了我的知识范围。你能解释一下吗
- 为什么域名可以与证书不同但仍然安全?
- 为什么GUI版本(
tls.automattic.com)和命令版本(*.wordpress.com)显示不同的证书域?
Subject 字段已被所有现代浏览器废弃,它们在 Subject Alternative Name 证书扩展中查找授权名称:
和 bing.cn 已通过此证书授权。事实上,此证书允许代表此扩展名中列出的任何名称。
我有基本的SSL知识,可以配置网站https证书。
我曾经相信
A 'secure' https website much have a matching(at least a wildcard matching) certificate domain name
直到今天。
以google.com为例:
- 通过Chrome 证书查看器:
- 通过 openssl
openssl s_client -connect google.com
得到相同的结果:
... depth=0 CN = *.google.com ...
这对我来说是正常的。
但我刚刚发现(在期望 cn.bing.com actually) a website bing.cn,
时这是错误的- 通过Chrome 证书查看器:
- 通过 openssl
openssl s_client -connect bing.cn
得到不同的结果:
... depth=0 CN = *.wordpress.com ...
这超出了我的知识范围。你能解释一下吗
- 为什么域名可以与证书不同但仍然安全?
- 为什么GUI版本(
tls.automattic.com)和命令版本(*.wordpress.com)显示不同的证书域?
Subject 字段已被所有现代浏览器废弃,它们在 Subject Alternative Name 证书扩展中查找授权名称:
和 bing.cn 已通过此证书授权。事实上,此证书允许代表此扩展名中列出的任何名称。