我需要帮助来了解 Chrome 的行为是正常的还是我的错误。我正在使用自签名证书和子域。
来自 https://preproduser.svtools.tp.XXX.it/#!/login/对另一个子域的 Ajax 查询返回错误:
OPTIONS https://preprodauth.svtools.tp.XXX.it/v1/authenticate net::ERR_INSECURE_RESPONSE
这两个应用程序都由具有此证书的 Nging 反向代理服务:
# openssl x509 -noout -certopt no_sigdump,no_pubkey -text -in selfsigned.svtools.tp.XXX.it.crt
Certificate:
Data:
Version: 3 (0x2)
Serial Number: 15659850292680964857 (0xd952f6df2b0bbaf9)
Signature Algorithm: sha256WithRSAEncryption
Issuer: C=IT, ST=Italia, L=YYY, O=XXX, CN=*.svtools.tp.XXX.it
Validity
Not Before: Apr 2 18:36:50 2017 GMT
Not After : Mar 31 18:36:50 2027 GMT
Subject: C=IT, ST=Italia, L=YYY, O=XXX, CN=*.svtools.tp.XXX.it
X509v3 extensions:
X509v3 Basic Constraints:
CA:FALSE
X509v3 Key Usage:
Digital Signature, Non Repudiation, Key Encipherment
X509v3 Subject Alternative Name:
DNS:svtools.tp.XXX.it, DNS:preproduser.svtools.tp.XXX.it, DNS:preprodauth.svtools.tp.XXX.it
我在 Chrome 上看到证书有 SAN,并且 Chrome 告诉我 ERR_CERT_AUTHORITY_INVALID(预期行为)。
问题:在打开前接受安全证书问题https://preproduser.svtools.tp.XXX.it/我希望 https://preprodauth.svtools.tp.XXX.it/ 不会再出现问题. Chrome 仍然提示安全问题。我可以避免这种情况吗?
里卡多
最佳答案
虽然您可以覆盖有关 ERR_CERT_AUTHORITY_INVALID 的警告,但它只会覆盖正好位于此主机名的此证书的警告,而不会自动信任任何其他主机的此证书。
试想一下,如果不是这样的话:在这种情况下,中间人攻击者可以使用证书来拦截与一些不重要主机的连接,其中许多人会因为没有敏感数据而忽略警告。一旦完成,攻击者就可以使用相同的证书(现在被浏览器信任)来拦截与重要主机的连接。这就是为什么任何证书豁免仅适用于证书被明确豁免的特定主机名。
关于google-chrome - ERR_INSECURE_RESPONSE + 子域,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/43172398/