เหตุใด CNAME จึงไม่ทำงานอย่างที่ควรจะเป็น

ฉันได้ตั้งค่ารายการ CNAME เพื่อเปลี่ยนเส้นทางผ่านที่เก็บ Amazon S3 แต่มีบางอย่างที่ใช้งานไม่ได้ตามที่ควร (โดยฉันแน่นอน) กับ CNAME ฉันคาดว่าจะเปลี่ยนเส้นทางโดเมนย่อยสมมติสมมติเช่นs3.example.comไปยังที่เก็บ Amazon S3 ที่มีชื่อเดียวกัน .

ตอนนี้ปัญหาคือexample.comไม่มี SSL ขณะที่ฝากข้อมูล Amazon ทำ สำหรับสิ่งที่ฉันคิดว่าด้วยกฎ CNAME มันควรเปลี่ยนเส้นทางการรับส่งข้อมูลก่อนที่จะไปถึงเว็บเซิร์ฟเวอร์ของฉันและตรวจสอบว่ามีใบรับรองหรือไม่โปรดสังเกตว่าในจุดประสงค์นี้ DNS ถูกตั้งค่าเป็นผู้ให้บริการโดเมนของฉัน

ทำไมมันจึงตรวจสอบ SSL เมื่อมีกฎ CNAME และทำงานได้หรือไม่ หากตัวอย่างเช่นฉันลบออกsจาก url มันจะเปิดไฟล์ที่เกี่ยวข้องในที่ฝากข้อมูลโดยไม่มีคำเตือนใบรับรองใด ๆ

แก้ไข : ข้อผิดพลาดที่ส่งคืนแตกต่างกันฉันจะพยายามแปลและปรับแก้:

s3.mydomain.com is using a not valid certificate. the certificate is 
only valid for the following names: *.s3.eu-central-1.amazonaws.com, 
*.s3-eu-central-1.amazonaws.com, s3-eu-central-1.amazonaws.com, s3.eu-
central-1.amazonaws.com, s3.dualstack.eu-central-1.amazonaws.com, 
*.s3.dualstack.eu-central-1.amazonaws.com, *.s3.amazonaws.com 

ดูเหมือนว่าเขากำลังอ่านกฎ CNAME และค้นหาโดเมนที่ถูกต้อง (amazon s3) จากนั้นก็พบสิ่งนี้กับโดเมนของฉันและเห็นว่าเป็นชื่ออื่นมันจะหยุดก่อนที่จะเปลี่ยนเส้นทาง ด้วยเหตุนี้หากฉันลบsมันจะไม่มีข้อผิดพลาด ตอนนี้ฉันพยายามติดตั้งลองเข้ารหัสและดูว่าการมีใบรับรองจะช่วยได้หรือไม่ แต่ฉันเดาว่ามันจะยังทำให้โฆษณาตรวจสอบนี้ให้เหมือนเดิมอีกครั้งหากไม่ใช่ผลลัพธ์เดียวกัน

CNAME ในโซน DNS ของคุณทำงานได้ตามที่คุณคาดหวัง แต่เบราว์เซอร์ตรวจสอบว่าใบรับรองที่แสดงโดยเว็บไซต์ระยะไกลนั้นใช้ได้สำหรับโดเมนที่กำลังเยี่ยมชม

เซิร์ฟเวอร์ am3 s3 ที่เก็บข้อมูลของคุณไม่มีหรือแสดงใบรับรองที่ถูกต้องs3.mydomain.comดังนั้นผู้เยี่ยมชมทั้งหมดจะเห็นคำเตือนใบรับรอง

นี่เป็นเรื่องปกติอย่างสมบูรณ์และเป็นวิธีการทำงานของใบรับรอง SSL - มิฉะนั้นไซต์ใดก็ตามที่อาจหลอกว่าเป็นไซต์เข้ารหัส SSL อื่น ๆ ใบรับรองใช้สำหรับการตรวจสอบความถูกต้องเช่นเดียวกับการเข้ารหัสโดยมีการตรวจสอบข้อมูลประจำตัวโดย Certificate Authority (CA) เมื่อซื้อใบรับรอง หากคุณไม่ใช่คนที่คุณบอกว่าคุณเป็นเมื่อคุณซื้อใบรับรอง CA ควรปฏิเสธที่จะสร้างหรือออกใบรับรองให้กับคุณ - หากพวกเขาไม่ทำตามขั้นตอนการยืนยันนั้นพวกเขาจะพบว่าตัวเองถูกลบออกจาก CA ที่เชื่อถือได้เริ่มต้น รายการที่แจกจ่ายพร้อมกับเว็บเบราว์เซอร์เช่น Firefox, Chromium, IE, Edge และอื่น ๆ

วิธี "ปกติ" ในการทำสิ่งที่คุณต้องการเรียกใช้เซิร์ฟเวอร์ https ของคุณเองสำหรับโดเมนของคุณด้วยใบรับรองที่ลงนามโดยหน่วยงานออกใบรับรองที่เบราว์เซอร์รู้จักและเชื่อถือได้ สำหรับเว็บแอปพลิเคชันส่วนตัว / อินทราเน็ตคุณสามารถเรียกใช้ CA ของคุณเองและแจกจ่ายใบรับรองของ CA ให้กับผู้ใช้ของคุณ สำหรับเว็บไซต์สาธารณะที่ดีที่สุด / ง่ายที่สุดในการซื้อใบรับรองจากหนึ่งใน CA ที่มีชื่อเสียง

รหัสแอปพลิเคชันบนเซิร์ฟเวอร์ของคุณควรดึงข้อมูลที่ต้องการจาก amazon และส่งคืนให้ผู้ใช้ที่ไม่จำเป็นต้องรู้หรือสนใจว่า amazon เกี่ยวข้อง

CNAME ไม่ใช่การเปลี่ยนเส้นทาง แต่เป็นชื่อแทน สิ่งนี้บอกผู้แก้ไข DNS ว่าที่อยู่ s3.example.com ของคุณควรใช้ข้อมูล DNS เดียวกันกับโดเมน s3 ของ amazon

ทั้งหมดนี้เกิดขึ้นในระดับ DNS ไม่ใช่ระดับเบราว์เซอร์ เท่าที่เบราว์เซอร์เกี่ยวข้องอยู่นั้นยังคงเชื่อมต่อกับ s3.example.com ดังนั้นเมื่อพยายามตรวจสอบความถูกต้องของใบรับรอง SSL คาดว่าจะพบใบรับรองที่ตรงกับโดเมนนั้น

ฉันไม่คุ้นเคยกับบริการของอเมซอน แต่คุณจะต้องมีวิธีให้พวกเขาแสดงใบรับรองที่ถูกต้องเพื่อใช้โดเมนที่กำหนดเองของคุณกับ HTTPS หากไม่สามารถทำได้คุณจะต้องติดกับ HTTP ธรรมดาหรือหยุดใช้โดเมนที่กำหนดเองของคุณ