TLS证书域-期望

Question

如果我从example.com请求证书，而服务器使用notexample.com的(合法)证书进行应答，浏览器会抛出错误吗？

Answer 1

如果预期的服务器名称(来自目标URL的服务器名称)没有出现在服务器证书中的适当位置(通常作为dNSName类型的主题Alt扩展名)，则Web浏览器应该大声抱怨。见RFC 2818，3.1节。

实际上，现代浏览器会发出非常明显的警告，通常是可怕的和红色的。有些浏览器允许或多或少地“通过”警告进行“单击”(当然，您不应该这样做)。

Answer 2

取决于你的浏览器。

大多数人会让你绕过它。(除非您也有该域的HSTS。)

你可以自己试试：

• 测试这个坏站点: 有效证书，错误(主机)名称，HSTS没有违反：https://wrong.host.badssl.com (Report 这里)。
• 在测试下一个坏站点之前: 访问此站点以确保浏览器加载HSTS规则：https://preloaded-hsts.badssl.com/
• 然后转到这个坏站点: 有效证书、错误(主机)名称、HSTS违犯：https://subdomain.preloaded-hsts.badssl.com (Report 这里)。

编辑2015-06-12:错误修复。中间步骤增加。这是必要的，这样浏览器就有机会知道有一个HSTS规则。否则，浏览器将无法在下一步中判断是否有任何内容被违反。(这一中间步骤在将来可能不再必要了，因为badssl.com已申请将其包含在HSTS预加载列表中。但在Chrome 44或Firefox 41之前，这种情况不会发生。)