为什么不匹配证书域名的https网站可以被浏览器标记为“安全”？

Question

我对SSL有基本的了解，并能配置网站https证书。

我曾经相信

“安全”https网站很多都有匹配(至少是通配符匹配)证书域名。

直到今天。

以google.com为例：

• 通过Chrome证书查看器：

​

​

• 由openssl

openssl s_client -connect google.com

同样的结果：

..。depth=0 CN = *.google.com .

对我来说，这就是我所期待的。

但我刚找到了一个bing.cn网站(这在我期待bing.cn的时候是错误的)，

• 通过Chrome证书查看器：

​

​

• 由openssl

openssl s_client -connect bing.cn

得到不同的结果：

..。depth=0 CN = *.wordpress.com .

这是我所不知道的。你能解释一下吗

1. 为什么域名可以与证书不同，但仍然是安全的？
2. 为什么gui版本(tls.automattic.com)和命令版本(*.wordpress.com)显示不同的证书域？

Answer 1

Subject字段被所有现代浏览器淘汰，它们在Subject Alternative Name证书扩展中查找授权名称：

​

​

bing.cn是由本证书授权的。实际上，该证书可以表示此扩展名中列出的任何名称。