Wenn Sie die CDN-URL von Sparkfun mit OpenSSL mit dem folgenden Befehl abfragen:
openssl s_client -showcerts -connect dlnmh9ip6v2uc.cloudfront.net:443
Der im Zertifikat zurückgegebene allgemeine Name lautet *.sparkfun.com
, was nicht überprüft werden kann. Wenn Sie den Host jedoch in Chrome laden, wird der allgemeine Name angezeigt*.cloudfront.net
Was geht hier vor sich?
Dies verursacht ein Problem, da ich mich in der Umgebung über Squid SSL_Bump in Proxy-SSL befinde, wodurch ein Zertifikat generiert wird, das von meiner lokal vertrauenswürdigen Zertifizierungsstelle für die Domäne signiert wurde. Dies funktioniert für alle Domänen außer den oben genannten, da der CN nicht übereinstimmt, da das neue Zertifikat mit OpenSSL generiert wird.
BEARBEITEN - Ich habe festgestellt, dass dies auch bei OpenSSL auf einem Server in einem Remote-Rechenzentrum der Fall ist, der über eine direkte Verbindung zum Internet verfügt, ohne dass Proxies oder Filter erforderlich sind.
BEARBEITEN - Das Problem liegt an SNI, wie akzeptiert, aber um die Informationen zu ergänzen, warum es ein Problem mit Squid und SSL_Bump verursacht:
Dieses Projekt unterstützt die Weiterleitung von Informationen zur SSL-Servernamenanzeige (SNI) an den Ursprungsserver nicht und erschwert diese Unterstützung ein wenig. Die SNI-Weiterleitung hat jedoch ihre eigenen schwerwiegenden Herausforderungen (über den Umfang dieses Dokuments hinaus), die die zusätzlichen Weiterleitungsschwierigkeiten bei weitem überwiegen.
Entnommen aus: http://wiki.squid-cache.org/Features/BumpSslServerFirst