当浏览器查询xxx.example.com并获得yyy.example.com证书(顶级域相同)时，它会做什么？

Question

问题在于，当浏览器获得其他一些域的证书时，它会执行什么级别的验证。

案例1:访问abc.google.com并获得def.google.com

案例2:访问*.abc.google.com和got abc.google.com

案例3:访问abc.google.com和got abc.facebook.com

另外，如何处理编程调用，例如使用JAVA？我知道访问域和证书中的域应该严格匹配，但我不确定两者是否具有相同的顶级域。任何帮助都将不胜感激。

Answer 1

主题中的主机名(公共名称或主题替代名称)必须完全匹配URL中给定的名称。这意味着你所提供的案例中没有一个是匹配的。

默认情况下，常见的浏览器和大多数当前命令行客户端和编程语言都会正确检查名称。但是老客户端通常不正确地检查名称(比如只针对CN，允许多个通配符.)，根本不检查名称，或者默认情况下不进行任何证书验证。而且，开发人员经常会部分或完全地禁用验证，因为它妨碍了测试。