新域名通过 cname 绑定一个已部署 SSL 的域名,数据是否被 SSL 加密?

2016-06-23 20:40:52 +08:00
 talas
  1. 已经为 domain1.com 部署好 SSL 证书,可以通过 https://domain1.com 访问;
  2. 需要将 domain2.com 添加一条 cname 记录,指向 domain1.com
  3. 因为 domain2.com 没有 SSL 证书,只能通过 http://domain2.com 访问;

问题: http://domain2.com 的数据是否被 domain1.com 的 SSL 加密然后输出的?

6842 次点击
所在节点    SSL
7 条回复
aaronlam
2016-06-23 20:47:31 +08:00
是不加密的。简单理解不然证书干嘛要你指定域名呢?
UnisandK
2016-06-23 20:49:34 +08:00
http://domain2.com 不会加密, https://domain2.com 会直接报证书错误
wevsty
2016-06-23 20:49:38 +08:00
为什么只能通过 http://domain2.com 访问?
如果这里用了 HTTP 协议,并且服务器没有强制要求 SSL ,那就不是加密传输的,都是普通传输
如果通过 https://domain2.com 访问是加密的,但是会提醒证书有问题
talas
2016-06-23 21:18:21 +08:00
@wevsty
@UnisandK
@wevsty

背景:项目考虑为 domain1.com 部署泛域名 SSL 证书,向客户提供二级域名 username.domain1.com ,这样 https://username.domain1.com 也是正常的。如果用户需要绑定自有域名的话,就有了我上面的问题。

看了大家的解答,我有了方案:
1. 如果项目鼓励用户普遍使用自有域名,那么部署泛域名 SSL 证书是不必要的,只需要普通的 SSL 证书保护主域名即可。
2. 如果项目不鼓励用户使用自有域名,那么部署泛域名 SSL 证书。

多谢回答。
wdlth
2016-06-23 22:22:03 +08:00
@talas 如果不需要考虑旧的浏览器,可以搞 SNI ,就像国内各种 CDN 那样。
moult
2016-06-23 23:58:31 +08:00
1 、如果抛开 MX 等其他类型的记录不提, CNAME 其实就是 A 记录一样的,只是 A 记录的值跟随 domain1 的变化而变化罢了,所以你可以理解成 domain2 用的是 A 记录指向 domain1 指向的 IP 就好了, DNS 和 HTTP 是两个毫无关联协议。
2 、有没有加密通信,就看访问的时候的协议,是 HTTP 开头还是 HTTPS 开头。

其实,如果可以用户自定义域名的话,那就让他们自己选择是否要加密通信,需要加密,就让他们去申请 SSL 证书,并把 KEY 和证书都给你,你去部署到自己的服务器上就好了,而且只能用 SNI ,因为 SAN(UCC)好像最多 100 个域名吧。
talas
2016-06-24 00:22:06 +08:00
@wdlth
@moult

谢谢提醒, SNI 是一个不错的解决方案:泛域名 SSL 证书+SNI 。这样就能兼顾两种用户需求了。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/287903

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX