Sì, il nome host sul certificato deve corrispondere alla parte del nome host dell'URL da cui viene richiesto il certificato. Questo è un requisito in quanto vi è l'aspettativa che SSL non solo protegga la comunicazione (crittografia) ma assicuri anche che l'utente si colleghi al server appropriato (autenticazione). Senza tale requisito sarebbe banale spoofare gli utenti con un attacco MITM. L'utente sfoglia il link , l'hacker MITM non può creare un certificato firmato dalla CA valido per esempio.com, quindi usa solo un certificato valido. L'utente vede che l'URL è link ed è protetto SSL per cui deve essere sicuro, giusto? No, è connesso al server degli hacker. Quindi il browser avviserà l'utente. Ehi hai provato ad andare al link , il vero esempio.com avrebbe fornito un certificato per example.com ma ho ottenuto qualcosa di diverso, quindi molto probabilmente sei sotto attacco in questo momento.
WWW o non a WWW
Uno scenario comune che porta ad errori è richiedere un certificato con un nome host di www. * come www.example.com. Tutto va bene se l'utente tenta di accedere al link , ma se decidi di aderire al 21 ° secolo e gestire il traffico a link l'utente riceverà un errore (non è possibile reindirizzare anche senza un errore diverso). L'utente sta provando ad andare su example.com ma sta ottenendo un certificato per un nome host diverso (www.example.com).
Evita di ottenere un www. * solo certificato
È pratica (semi) standard per la CA includere www. * come alt nome per cert quando il nome host richiesto è un dominio radice (nessun sottodominio). Una richiesta per un certificato con un nome host di example.com
funzionerà con entrambi i link e link ma se una richiesta di un certificato per www.example.com
funzionerà solo con link .
Il mio certificato è già stato emesso con un www. * nomehost
Potresti ricevere un secondo certificato emesso per gestire il traffico link e utilizzare il cert esistente www www per link ma è un po 'inutile in quanto il nuovo certificato può gestire entrambi i nomi degli host. Si consiglia di verificare se la CA rilascerà un certificato con il nome host di root invece di www gratuitamente. Dubito che lo faranno ma potrebbero soprattutto se è un certificato più costoso.
Beh, non sempre è vero
Sembra che alcune CA (vedere i commenti) ora facciano l'opposto e per un certificato richiesto su www.example.com aggiungere example.com come nome alt. Niente può essere semplice, immagino. Verificare con la CA e i dettagli della cert. Per evitare gli avvertimenti del browser, il nome host dell'URL utilizzato deve essere elencato nel certificato come nome host o Nome alternativo oggetto.