Является ли перенаправление DNS решением проблем с сертификатом SSL на неожиданных поддоменах?

Question

(похоже на этот вопрос , но с другим поворотом).

IIS 6, если это применимо.

Итак, мы получили сертификат, который был подписан для www.foo.com, и, конечно, HTTPS-запросы на выдачу предупреждений сертификатом foo.com. Некоторые вопросы:

• Устранит ли неполадка введение DNS CNAME для запросов foo.com на сайт www.foo.com?
• Если нет, какой следующий лучший метод? Я видел подстановочные сертификаты и добавлял SubjectAlternativeNames к сертификату. Есть ли плюсы и минусы для каждого или они одинаково действительны?
• Даже если добавление DNS CNAME будет работать, это «правильный» метод?

Answer 1

DNS CNAME не будет работать - браузер проверяет имя хоста, указанное в URL, по сертификату и не интересуется, разрешено ли имя хоста, следуя CNAME куда-либо еще.

Я не уверен, что центры сертификации выдают много подстановочных сертификатов, или какова их поддержка. Если ЦС готов это сделать, вариант создания сертификата с foo.com в качестве SubjectAlternativeName является опцией. Я думаю, что поддержка браузера сейчас широко распространена.