เมื่อทำการสอบถาม URL ของ CDN ของ Sparkfun โดยใช้ OpenSSL ด้วยคำสั่งต่อไปนี้:
openssl s_client -showcerts -connect dlnmh9ip6v2uc.cloudfront.net:443
ชื่อทั่วไปที่ส่งคืนในใบรับรองคือ*.sparkfun.com
ซึ่งไม่สามารถตรวจสอบได้ แต่ถ้าคุณโหลดโฮสต์ใน Chrome ชื่อสามัญที่ปรากฏคือ*.cloudfront.net
เกิดขึ้นที่นี่คืออะไร?
นี่เป็นสาเหตุของปัญหาเนื่องจากสภาพแวดล้อมที่ฉันอยู่ในพร็อกซี SSL ผ่าน Squid SSL_Bump ซึ่งสร้างใบรับรองที่ลงนามโดย CA ที่เชื่อถือได้ในพื้นที่ของฉันสำหรับโดเมน ใช้ได้กับทุกโดเมน แต่ด้านบนเนื่องจาก CN ไม่ตรงกันเนื่องจากใบรับรองใหม่ถูกสร้างขึ้นโดยใช้ OpenSSL
แก้ไข - ฉันตรวจสอบแล้วว่าเกิดขึ้นกับ OpenSSL บนเซิร์ฟเวอร์ในศูนย์ข้อมูลระยะไกลที่มีการเชื่อมต่อโดยตรงกับอินเทอร์เน็ตโดยไม่มีพร็อกซีหรือตัวกรองที่เกี่ยวข้อง
แก้ไข - ปัญหาเกิดจาก SNI เป็นที่ยอมรับ แต่เพื่อกรอกข้อมูลว่าทำไมมันทำให้เกิดปัญหากับ Squid และ SSL_Bump:
โครงการนี้จะไม่สนับสนุนการส่งต่อข้อมูลชื่อเซิร์ฟเวอร์ SSL (SNI) ไปยังเซิร์ฟเวอร์ต้นทางและจะทำให้การสนับสนุนดังกล่าวยากขึ้นอีกเล็กน้อย อย่างไรก็ตามการส่งต่อ SNI มีความท้าทายที่รุนแรงของตัวเอง (เกินขอบเขตของเอกสารนี้) ที่ไกลเกินดุลความยุ่งยากในการส่งต่อ
นำมาจาก: http://wiki.squid-cache.org/Features/BumpSslServerFirst