다음 명령으로 OpenSSL을 사용하여 Sparkfun의 CDN URL을 쿼리 할 때 :
openssl s_client -showcerts -connect dlnmh9ip6v2uc.cloudfront.net:443
인증서에 반환 된 일반 이름은입니다. *.sparkfun.com
확인에 실패하지만 Chrome에 호스트를로드하면 표시된 일반 이름은*.cloudfront.net
무슨 일이야?
이는 Squid SSL_Bump를 통해 SSL을 프록시로 사용하는 환경에서 도메인에 대해 로컬에서 신뢰할 수있는 CA에서 서명 한 인증서를 생성하기 때문에 문제가됩니다. OpenSSL을 사용하여 새 인증서가 생성되므로 CN이 일치하지 않기 때문에 위의 모든 도메인에서 작동합니다.
편집 -프록시 또는 필터링을 사용하지 않고 인터넷에 직접 연결되어있는 원격 데이터 센터의 서버에서 OpenSSL과 동일한 문제가 발생 함을 확인했습니다.
편집 -문제는 SNI로 인해 발생하지만 Squid 및 SSL_Bump에 문제가 발생하는 이유에 대한 정보를 작성해야합니다.
이 프로젝트는 SSL 서버 이름 표시 (SNI) 정보를 오리진 서버로 전달하는 것을 지원하지 않으며 그러한 지원을 좀 더 어렵게 만듭니다. 그러나 SNI 전달에는 추가 된 전달 어려움보다 훨씬 큰 고유 한 문제 (본 문서의 범위를 넘어서)가 있습니다.
http://wiki.squid-cache.org/Features/BumpSslServerFirst 에서 가져온