Не удалось установить wss-соединение через Chrome с многодоменным SSL-сертификатом SAN

Question

Может ли кто-нибудь помочь мне понять следующее и предложить возможное исправление?

Проблема : сбой безопасного подключения через веб-сокет (wss) в браузере Chrome при использовании мультидомена ( SAN) SSL-сертификат

Подробности : у нас есть многодоменный SSL-сертификат SAN, который охватывает, например, webapp.example.com и websocket.example.com. Страница https://webapp.example.com/ загружается правильно (домен проверен корректно по сертификату SAN браузером, и отображается значок «блокировка», указывающий, что соединение защищено). Однако указанное веб-приложение на этой странице также пытается установить соединение с wss: //websocket.example.com/. Это соединение не установлено с ERR_CERT_COMMON_NAME_INVALID.

Слабая гипотеза сбоя : возможно, эта ошибка вызвана тем, что

1. Браузер сначала открывает соединение SSL для https://webapp.example.com после проверки webapp.example.com в качестве действительного домена в сертификате SAN
2. Когда установлено соединение с wss: //websocket.example.com, имя 'websocket.example .com 'не совпадает с доменом, который был ранее подтвержден (webapp.example.com).

Вопрос : возможно ли сделать эту работу? Если да, то как?

Answer 1

Ваша гипотеза неверна. Проверка сертификата всегда выполняется для домена в URL-адресе, доступном в данный момент. Это не делается на основе ранее полученного URL-адреса, даже если предоставленный сертификат был тем же.

Скорее всего, домен, к которому вы обращаетесь, на самом деле не содержится в многодоменном сертификате. Обратите внимание, что запись webapp.example.com или example.com в сертификате не распространяется на websocket.example.com или аналог в URL.