25 条回复  ·  2722 次点击
xinzhanghello 小成 11 小时前
虽然不知道原理,但是 C F 上生成 server origin 证书时,*.example.com 和 example.com 是分开显示的,所以我推测这个东西需要两个都要单独签
freaks 楼主 小成 11 小时前
@lcy630409 #15 @abolast @pridealloverme @263 @xinzhanghello 谢谢各位了,我还是都签吧,就是不知道为啥火狐可以。https://i.imgur.com/NIvxivj.png
COW 初学 11 小时前
这么说 edge 的实现还挺安全的
qoo2019 小成 11 小时前
@freaks 真要深入,你不应该复制,而应该抓包,看浏览器发送出去的是啥
billbob 初学 11 小时前
你认真看下 Let's Encrypt 文档,我记得首页就有域名匹配规则
yuzo555 小成 11 小时前
通配符证书所采用的“通配符”与文件匹配的采用的通配符规则类似: * 这个字符就是一个通配符,他在域名匹配模式中表示 0 到任意长度的合法字符 . 在正则表达式里面表示任意字符,但在域名匹配所采用的普通通配符模式中 . 就是一个普通字符,就表示半角的“点”本身。 *.example.com 其中有个“.”,就注定了它无法匹配到 example.com 这个主域名。 不过,一般稍微正规一的证书机构在签发通配符证书时,即使客户不懂,没有要求,他们也都会在 SAN 中添加上主域名本身,也就是说一般正规机构签发的证书都会支持 example.com 和 *.example.com 两个域名。 但由 ACME 客户端签发的 LE/ZeroSSL/GTS 免费证书,默认情况下不会为你贴心地考虑这个问题,你都选择免费证书了,要求你点动手能力不过分吧,你得主动在申请中同时添加两个域名才行。
123
返回顶部