遇到一点证书问题，望运维大佬给看看

@lcy630409 #15
@abolast
@pridealloverme
@263
@xinzhanghello 谢谢各位了，我还是都签吧，就是不知道为啥火狐可以。

这么说 edge 的实现还挺安全的

@freaks 真要深入，你不应该复制，而应该抓包，看浏览器发送出去的是啥

你认真看下 Let's Encrypt 文档,我记得首页就有域名匹配规则

通配符证书所采用的“通配符”与文件匹配的采用的通配符规则类似：

* 这个字符就是一个通配符，他在域名匹配模式中表示 0 到任意长度的合法字符
. 在正则表达式里面表示任意字符，但在域名匹配所采用的普通通配符模式中 . 就是一个普通字符，就表示半角的“点”本身。

*.example.com 其中有个“.”，就注定了它无法匹配到 example.com 这个主域名。

不过，一般稍微正规一的证书机构在签发通配符证书时，即使客户不懂，没有要求，他们也都会在 SAN 中添加上主域名本身，也就是说一般正规机构签发的证书都会支持 example.com 和 *.example.com 两个域名。

但由 ACME 客户端签发的 LE/ZeroSSL/GTS 免费证书，默认情况下不会为你贴心地考虑这个问题，你都选择免费证书了，要求你点动手能力不过分吧，你得主动在申请中同时添加两个域名才行。

原理没那么复杂，就是直接看域名是否匹配

*.example.com 里面 * 表示任意字符（不包括 .）
再把 example.com 去匹配一下 *.example.com ，可以发现很明显就是不匹配的

@zengxs
example.com = .example.com
www.v2ex.com = .www.v2ex.com
v2ex.com = .v2ex.com

@EchoYang7
域名的隐藏点是在末尾，不是在最前。所以
example.com = example.com. ≠ .example.com

@snw 对 我记错了

Common Name 和 Subject Alternative Name ，2 个东西，免费的证书做的不是那么智能。
以前 digicert 也有这个傻不拉几的 Bug ，后来修掉了。

@freaks #21
所以 其实是火狐不安全

*.example.com != example.com 这是两个域名

你签名的最后的证书, 要用的那个证书
fullchain.cer

有可能是证书链没有补全, 不存在其他问题, 你可以再试试看, 用 fullchain.cer
这个是补全证书链的

@lfmwO 用的别人的开源软件，没有这个文件

example.com 对应的域名规则是 @.example.com ，跟 *.example.com 不是一回事

首先只申请 `*.example.com ` 访问 `example.com ` 肯定是不可以的

然后浏览器能成功的看看是不是补全了 www

我不相信 FF 能犯这么低级的错误，这不是实现问题，*.example.com 是明确不应该匹配 example.com 的

建议 LZ 检查一下 FF 访问 example.com 时显示的证书是啥

@Zzdex
@aloxaf 破案了，通用证书名称：*.example.com ，火狐自动加了 www

學習了