ERR_INSECURE_RESPONSE +子域名

Question

我需要幫助來了解Chrome的行爲是否正常，或者是由於我的錯誤。我正在使用selfsigned-certificates和subdomains。

從https://preproduser.svtools.tp.XXX.it/#!/login/有一個Ajax查詢到另一個子域返回錯誤：

OPTIONS https://preprodauth.svtools.tp.XXX.it/v1/authenticate net::ERR_INSECURE_RESPONSE 

兩個應用程序是由Nging擔任反向代理與此證書：

# openssl x509 -noout -certopt no_sigdump,no_pubkey -text -in selfsigned.svtools.tp.XXX.it.crt 
Certificate: 
    Data: 
     Version: 3 (0x2) 
     Serial Number: 15659850292680964857 (0xd952f6df2b0bbaf9) 
    Signature Algorithm: sha256WithRSAEncryption 
     Issuer: C=IT, ST=Italia, L=YYY, O=XXX, CN=*.svtools.tp.XXX.it 
     Validity 
      Not Before: Apr 2 18:36:50 2017 GMT 
      Not After : Mar 31 18:36:50 2027 GMT 
     Subject: C=IT, ST=Italia, L=YYY, O=XXX, CN=*.svtools.tp.XXX.it 
     X509v3 extensions: 
      X509v3 Basic Constraints: 
       CA:FALSE 
      X509v3 Key Usage: 
       Digital Signature, Non Repudiation, Key Encipherment 
      X509v3 Subject Alternative Name: 
       DNS:svtools.tp.XXX.it, DNS:preproduser.svtools.tp.XXX.it, DNS:preprodauth.svtools.tp.XXX.it 

我在Chrome上看到，證書有SAN和Chrome告訴我ERR_CERT_AUTHORITY_INVALID（預期行爲）。

問題：接收開口https://preproduser.svtools.tp.XXX.it/前的安全證書問題後，我期待https://preprodauth.svtools.tp.XXX.it/沒有進一步的問題。 Chrome仍然抱怨安全問題。我能避免這種情況嗎？

裏卡多

Answer 1

雖然可以覆蓋警告有關ERR_CERT_AUTHORITY_INVALID它只會在正是這個主機名覆蓋警告正是這種證書並不能自動信任此證書的任何其他主機。

試想一下，否則：在這種情況下，中間攻擊者中的一些人可以使用證書來攔截與某些不重要主機的連接，因爲沒有敏感數據，很多人只會覆蓋警告。一旦完成，攻擊者可以使用相同的證書（現在被瀏覽器信任）來攔截到重要主機的連接。這就是爲什麼任何證書豁免只適用於明確豁免證書的特定主機名。