web-dev-qa-db-ja.com

ドメイン内のHTTPSと末尾のドット

WebサーバーがHTTPSの背後で提供され、www.domain.comwww.domain.com.の両方でアクセス可能でなければならないというシナリオを解決することは可能ですか?そして、末尾のドットに注意してください。

すべての例: GitHub

もちろん、証明書はgithub.com用ではなくgithub.com.用です。この問題はどういうわけか解決可能ですか? DNSアーキテクチャを完全に誤解していますか?

7

ホスト名と一致する共通名またはサブジェクト代替名(UCC証明書と呼ばれることもあります)の証明書がない限り、入力したとおりに、ブラウザーは名前の不一致を報告します。

ほとんどの(すべて?)ブラウザはこれを行うようです。この問題に関するMozillaの立場については、 バグ134402-ホスト名(FQDN)に末尾にドットが付いたURLで証明書名の不一致 が発生するを参照してください。これらの観点からは、このような変更を行うことには十分な利点がありません。URLに末尾のドットを含める必要がある理由があったとしてもごくわずかだからです。

基本的に、ブラウザベンダー、および証明書を検証する製品を作成している他のベンダーは、ホスト名を証明書と照合する場合は常に保守的である必要があります。ユーザーが何を意図したかについて推測することは、一般的に「悪い」と見なされます。注意しないと、非特定のURL(例:https://www)のホスト名がhttps://www.<a_domain_in_your_suffix_search_list>の証明書と一致し、その結果ドメインが制御されない状況に陥る可能性があります。最初に入力された名前と同じエンティティによって。これは、FQDNで常に末尾のドットを使用するという私のルールの1つの例外です。末尾のドットは明確であり、解決に必要なクエリが少ないため、一般的には良い考えですが、すべてのアプリケーションが適切に処理するわけではありません。

ただし、「DNS/SSL /ブラウザの仕組み」についての理解は、ほとんどの人よりもはるかに進んでいます。

4
charleswj81