Podczas sprawdzania adresu URL CDN Sparkfun za pomocą OpenSSL za pomocą następującego polecenia:
openssl s_client -showcerts -connect dlnmh9ip6v2uc.cloudfront.net:443
Nazwa pospolita zwrócona w certyfikacie to ta *.sparkfun.com
, której nie można zweryfikować, ale jeśli załadujesz hosta w Chrome, wyświetlana jest nazwa pospolita*.cloudfront.net
Co tu się dzieje?
Powoduje to problem, ponieważ środowisko, w którym jestem na serwerach proxy SSL przez Squid SSL_Bump, który generuje certyfikat podpisany przez mój lokalnie zaufany urząd certyfikacji dla domeny. Działa to dla wszystkich domen, ale powyżej, ponieważ CN nie pasuje, ponieważ nowy certyfikat jest generowany przy użyciu OpenSSL.
EDYCJA - sprawdziłem, że to samo dzieje się z OpenSSL na serwerze w zdalnym centrum danych, które ma bezpośrednie połączenie z Internetem bez żadnych serwerów proxy ani filtrowania.
EDYCJA - Problem jest spowodowany przez SNI, jak zaakceptowano, ale w celu uzupełnienia informacji, dlaczego powoduje problem z Squid i SSL_Bump:
Ten projekt nie będzie obsługiwał przekazywania informacji SNI na serwer źródłowy i sprawi, że takie wsparcie będzie nieco trudniejsze. Jednak przekazywanie SNI ma swoje poważne wyzwania (wykraczające poza zakres tego dokumentu), które znacznie przewyższają dodatkowe trudności związane z przesyłaniem.
Zaczerpnięte z: http://wiki.squid-cache.org/Features/BumpSslServerFirst
źródło
Chrome obsługuje SNI , mówiąc serwerowi, który certyfikat wysłać.
s_client
Komenda nie.Jest więcej szczegółów użytkowania CloudFront dnia -SNI tutaj .
i:
źródło
s_client
że nie obsługuje CLI. Powiedziałem, żes_client
polecenie (w PO) nie.