Quando si esegue una query sull'URL CDN di Sparkfun utilizzando OpenSSL con il seguente comando:
openssl s_client -showcerts -connect dlnmh9ip6v2uc.cloudfront.net:443
Il nome comune restituito nel certificato è *.sparkfun.com
, che non riesce a verificare, ma se si carica l'host in Chrome, il nome comune visualizzato è*.cloudfront.net
Cosa sta succedendo qui?
Questo sta causando un problema perché l'ambiente in cui mi trovo è proxy SSL tramite Squid SSL_Bump, che genera un certificato firmato dalla mia autorità di certificazione locale attendibile per il dominio. Questo funziona per tutti i domini ma quanto sopra, poiché la CN non corrisponde poiché il nuovo certificato viene generato usando OpenSSL.
EDIT - Ho verificato che lo stesso si verifichi con OpenSSL su un server in un centro dati remoto che ha una connessione diretta a Internet senza proxy o filtri coinvolti.
EDIT - Il problema è dovuto a SNI, come accettato, ma per compilare le informazioni sul motivo per cui causa un problema con Squid e SSL_Bump:
Questo progetto non supporterà l'inoltro delle informazioni sull'indicazione del nome del server SSL (SNI) al server di origine e renderà un po 'più difficile tale supporto. Tuttavia, l'inoltro SNI ha le sue serie sfide (al di là dell'ambito di questo documento) che superano di gran lunga le ulteriori difficoltà di inoltro.
Tratto da: http://wiki.squid-cache.org/Features/BumpSslServerFirst