Sécuriser une URL qui a un enregistrement cname
J'ai un site qui a des sous-domaines pour chaque utilisateur et un certificat SSL générique
La question est de savoir si quelqu'un peut définir un enregistrement cname tel que user1.theirsite.com -> user1.mysite.com et qu'il utilise toujours https?
Cela fonctionnera-t-il s'ils installent un certificat SSL sur leur serveur pour sécuriser la connexion?
Merci
Pour que cela fonctionne le mieux, ils s’organisent avec vous pour que votre certificat SSL inclue son "alias" en tant qu’extension Subject Alternate Name dans le certificat votre X.509.
C’est l’approche utilisée par certains CDN lorsqu’ils hébergent des sites https pour des clients: ils placent tous les noms de sites connus hébergés sur un serveur dans un grand certificat SSL, puis les clients utilisent des CNAME pour pointer leur domaine vers le bon CDN. serveur.
La vérification du nom d'hôte et du certificat (et en fait, la vérification de l'utilisation de SSL) relève uniquement de la responsabilité du client.
La vérification du nom d'hôte sera effectuée par le client, comme spécifié dans RFC 2818 , en fonction du nom d'hôte demandé dans son URL. Que la résolution DNS du nom d'hôte soit basée sur une entrée CNAME ou toute autre chose est sans importance.
Si les utilisateurs saisissent https://user1.theirsite.com/ dans leur navigateur, le certificat sur le site cible doit être valide pour user1.theirsite.com.
S'ils ont leur propre serveur pour user1.theirsite.com, différent de user1.mysite.com, une entrée DNS CNAME n'aurait aucun sens. En supposant que les deux hôtes soient effectivement distincts, ils pourraient avoir leur propre certificat valide pour user1.theirsite.com et effectuer une redirection vers https://user1.theirsite.com/. La redirection serait également visible dans la barre d'adresse.
Si vous voulez vraiment avoir un CNAME de user1.theirsite.com à user1.mysite.com, ils pourront peut-être vous donner leur certificat et leur clé privée afin de l'héberger aussi sur votre site, en utilisant l'indication du nom du serveur (en supposant le même port et la même adresse IP) depuis que vous utilisez un CNAME). Cela fonctionnerait pour les clients qui supportent SNI. Cependant, ils vous donneraient leurs clés privées (ce qui n'est généralement pas recommandé).
Ce qui suit est configuré et fonctionne:
Entrée DNS pour a.corp.com -> CNAME b.corp2.com -> A 1.2.3.4
Haproxy sur 1.2.3.4 servira le certificat pour a.corp.com et le site se chargera bien à partir d’un serveur Web.
Donc, sur votre serveur, vous aurez besoin de user1.theirsite.com cert et cela fonctionnera.