我一直在使用在线SSL检查器来检查多个站点的证书有效性 .
我注意到的一件事是许多网站都有通配符证书 - 特别是那些托管在常见的网站托管网站上的证书,例如goDaddy: *.onlinestore.godaddy.com
但是这些站点具有自定义域,因此在验证SSL证书时,我可以看到主机名与证书中列出的altnames不匹配的错误 .
但是所有主流浏览器(测试的chrome,FF,IE和Safari)仍然将网站显示为安全 . 浏览器是否不关心域名未在证书中列出,这不是一个安全漏洞吗?
Example :https://www.sslshopper.com/ssl-checker.html#hostname=www.cinnamonmotif.com
2 回答
如果域上安装了通配符证书,则浏览器仅检查证书有效性和通配符规则 . 只要此规则为true,证书ID就会受到信任,并且不会出现警告 .
如果您查看浏览器解析的证书,您会发现它与sslshopper.com解决的不同 .
当您进入现代浏览器时,客户端会发送TLS服务器名称指示扩展,并且该站点会注意到它应该提供cinnamonmotif.com证书 .
SslShopper从
Go Daddy Secure Certificate Authority - G2看到了*.onlinestore.godaddy.com,证书是0x6068c7475ab4ee2a.使用SNI,提供的证书是
cinnamonmotif.com,证书0x3e0240d9425e8120来自Go Daddy Secure Certificate Authority - G2.浏览器看到不同的证书(主机名匹配)这一事实是浏览器认为它是合法连接的原因 .