CNAME が想定どおりに機能しないのはなぜですか?

tag-icon tag-icon dns amazon-s3 cname
CNAME が想定どおりに機能しないのはなぜですか?

Amazon S3 バケット経由でリダイレクトするように CNAME エントリを設定しましたが、CNAME で想定どおりに機能しないものがあります (もちろん、私の考えでは)。たとえば、s3.example.com同じ名前の Amazon S3 バケットに架空のサブドメインをリダイレクトすることを想定しています。

問題は、example.comAmazonバケットにはSSLがあるのに、SSLがないことです。私が想定していたように、CNAMEルールではトラフィックをリダイレクトするはずです。前に私の Web サーバーにアクセスして証明書の存在を確認するには、この目的のために DNS がホスティング プロバイダーではなくドメイン プロバイダーに設定されていることに注意してください。

CNAME ルールがあり、それが機能しているのに、なぜ SSL をチェックするのでしょうか? たとえば、sURL から を削除すると、証明書の警告なしでバケット内の相対ファイルが開きます。

編集: 返されるエラーは異なります。翻訳して適応してみます:

s3.mydomain.com is using a not valid certificate. the certificate is 
only valid for the following names: *.s3.eu-central-1.amazonaws.com, 
*.s3-eu-central-1.amazonaws.com, s3-eu-central-1.amazonaws.com, s3.eu-
central-1.amazonaws.com, s3.dualstack.eu-central-1.amazonaws.com, 
*.s3.dualstack.eu-central-1.amazonaws.com, *.s3.amazonaws.com

その後、CNAME ルールを読み取って正しいドメイン (amazon s3) を検索しているようです。その後、これを私のドメインと比較し、別の名前であることを確認し、リダイレクトする前に停止します。このため、削除するとsエラーは発生しません。次に、Let's Encrypt をインストールして、証明書があれば役立つかどうかを確認しますが、このチェック広告は、同じではないにしても同様の結果を再度提供すると思います。

答え1

DNS ゾーンの CNAME は期待どおりに機能していますが、ブラウザは、リモート Web サイトによって提示された証明書がアクセス先のドメインに対して有効であるかどうかを確認します。

データが保存されている Amazon S3 サーバーには の有効な証明書がないためs3.mydomain.com、すべての訪問者に証明書の警告が表示されます。

これはまったく普通のことであり、SSL 証明書が本来機能する方法とまったく同じです。そうでなければ、どのサイトも SSL で暗号化された他のサイトになりすますことができます。証明書は暗号化だけでなく認証にも使用され、証明書の購入時に証明機関 (CA) によって ID の確認が行われます。証明書の購入時にあなたが本人であると証明していない場合、CA は証明書の作成や発行を拒否する必要があります。CA がその確認手順を行わない場合、Firefox、Chromium、IE、Edge などの Web ブラウザーで配布されるデフォルトの信頼済み CA リストから削除されます。

必要なことを実行する「通常の」方法は、ブラウザに知られ、信頼されている証明機関によって署名された証明書を使用して、ドメイン用の独自の https サーバーを実行することです。プライベート/イントラネット タイプの Web アプリケーションの場合は、独自の CA を実行し、その CA の証明書をユーザーに配布できます。パブリック Web サイトの場合は、よく知られている CA の 1 つから証明書を購入するのが最善かつ最も簡単です。

次に、サーバー上のアプリケーション コードは、必要なデータを Amazon から取得してユーザーに返す必要があります。ユーザーは、Amazon が関与していることを知ったり気にしたりする必要はありません。

答え2

CNAME はリダイレクトではなく、エイリアスです。これは、s3.example.com アドレスが Amazon の s3 ドメインと同じ DNS 情報を使用する必要があることを DNS リゾルバーに伝えます。

これはすべて、ブラウザ レベルではなく、DNS レベルで発生します。ブラウザに関しては、s3.example.com に接続しているため、SSL 証明書を検証しようとすると、そのドメインに一致する証明書が見つかることを期待します。

私は Amazon のサービスに詳しくありませんが、カスタム ドメインを HTTPS で使用するには、有効な証明書を提示する方法が必要になります。それが不可能な場合は、プレーン HTTP を使用するか、カスタム ドメインの使用を停止する必要があります。

関連情報