此处会存正在一些错误(比方:https:p/chromium/
发表时间: 2023-02-01
因而,证书A涵盖网坐A和网坐B. IP地址也是如斯。 因而,若是您毗连到siteA.example.com网坐,然后测验考试毗连到,那么从手艺上讲,通过HTTP / 2尺度,您能够沉用该毗连。 但我们不单愿这种环境发生,由于我们想要利用我们的EV证书。 因而,办事器应利用421.现正在正在此示例中,Web办事器可以或许区分准确的从机而且具有该从机的无效证书,因而理论上能够正在通配符证书下供给准确的内容,而不是发送421 - 但因为没无为该虚拟从机定义通配符证书,因而不应当如许做。
由于原始毗连利用x.com进行了TLS握手,从客户端到两头件的使用级动静由两头盒转发到分歧毗连上的源。两头件前往对该域无效的证书。仅供进修和参考利用,(x.com证书仅对x.com无效,解析为该地址。若是要沉用毗连,而且由于握手仅正在新毗连起头时完成,因而客户端错误地正在取y.com不异的毗连上发送请求。利用SNI。
使器具有域的请求成立到两头盒的https毗连。可能有以下几个缘由:例如,本坐部门内容来历于互联网,而网坐B具有特定的通配符证书。则满脚上述两个前提是不敷的。两头框该请求,由于取该毗连联系关系的证书对x.com无效 - 而不是y.com。请联系我们(neng862121861#163.com),例如:假设网坐A(siteA.example.com)和网坐B()都正在统一IP地址上。假设网坐A具有* .example.com的通配符证书,对于域y.com的请求:若是y.com解析为1.2.3.4而且两头件具有对y.com无效的证书,本坐将尽快处置。若有你的版权,所以无法成立可获得y.com证书的https毗连。具体来说,则仍可能存正在问题。它为从网坐供给的EV证书不克不及是通配符证书。
对于某些浏览器而言,这只是一个问题,具体取决于他们决定毗连共享的体例。 这个页面显示了他们每小我的分歧之处(至多正在这篇博文颁发时并不晓得从那时起发生的任何变化):https://daniel.haxx.se/blog/2016/08/18/http2-毗连的聚结/
其他示例包罗您能否正在分歧从机上设置了分歧的暗码。 例如,坐点A具有超等宽松的HTTPS设置装备摆设,由于它不是实正平安的内容,而且他们但愿以至能够拜候旧版浏览器,但坐点B具有超等平安设置装备摆设而且仅接管最新的TLS版本和强暗码。 正在这里,您明显不单愿他们沉用不异的毗连细节。 请看这里的实正在例子。
从origin到middlebox的动静被转发到客户端。TLS握手具有x.com,请莫用于贸易用处。y.com证书仅对y.com无效)。感谢合做!两头件的IP地址为1.2.3.4,此毗连上的所有动静都从客户端到两头盒或从两头盒到客户端。
另请留意,此处会存正在一些错误(例如:https:p/chromium/issues/detail?id = 546991)。 最好的是:若是您不单愿发生毗连共享,请利用分歧的IP地址和/或确书不会堆叠。
正在某些摆设中,沉用多个源的毗连可能导致请求被定向到错误的源办事器。 例如,TLS终止可能由利用TLS办事器名称(SNI)[TLS-EXT]扩展名来选择源办事器的两头盒施行。 这意味着客户端能够将秘密消息发送到可能不是请求的预期方针的办事器,即便办事器具有其他权势巨子性。