Ich habe einen CNAME-Eintrag für die Umleitung über den Amazon S3-Bucket eingerichtet, allerdings funktioniert etwas nicht wie erwartet (bei mir natürlich). Mit CNAME erwarte ich eine Umleitung auf eine fiktive Subdomäne, beispielsweise s3.example.comzum Amazon S3-Bucket mit demselben Namen.
Das Problem ist nun, dass example.comes kein SSL hat, während Amazon Bucket dies tut. Ich nahm an, dass es mit einer CNAME-Regel den Verkehr umleiten sollteVorum jemals meinen Webserver zu erreichen und das Vorhandensein eines Zertifikats zu überprüfen. Beachten Sie, dass zu diesem Zweck der DNS auf meinen Domänenanbieter und nicht auf meinen Hostinganbieter eingestellt ist.
Warum wird überhaupt nach SSL gesucht, wenn eine CNAME-Regel vorhanden ist und diese funktioniert? Wenn ich beispielsweise das saus der URL entferne, wird die entsprechende Datei im Bucket ohne Zertifikatswarnung geöffnet.
bearbeiten: der zurückgegebene Fehler ist anders, ich werde versuchen, ihn zu übersetzen und anzupassen:
s3.mydomain.com is using a not valid certificate. the certificate is
only valid for the following names: *.s3.eu-central-1.amazonaws.com,
*.s3-eu-central-1.amazonaws.com, s3-eu-central-1.amazonaws.com, s3.eu-
central-1.amazonaws.com, s3.dualstack.eu-central-1.amazonaws.com,
*.s3.dualstack.eu-central-1.amazonaws.com, *.s3.amazonaws.com
es scheint dann, dass er die CNAME-Regel liest und die richtige Domäne (Amazon S3) sucht. Dann vergleicht er dies mit meiner Domäne und sieht, dass es ein anderer Name ist. Dann stoppt er, bevor er umleitet. Aus diesem Grund swird es keinen Fehler geben, wenn ich es entferne. Jetzt würde ich versuchen, Let’s Encrypt zu installieren und zu sehen, ob ein Zertifikat helfen würde, aber ich schätze, es wird trotzdem dazu führen, dass diese Prüfung wieder ein ähnliches, wenn nicht das gleiche Ergebnis liefert.
Antwort1
Der CNAME in Ihrer DNS-Zone funktioniert wie erwartet, aber Browser überprüfen, ob das von der Remote-Website vorgelegte Zertifikat für die besuchte Domäne gültig ist.
Der Amazon S3-Server, auf dem Ihre Daten gespeichert sind, verfügt nicht über ein gültiges Zertifikat für s3.mydomain.com, daher wird allen Besuchern die Zertifikatswarnung angezeigt.
Das ist völlig normal und genau so sollen SSL-Zertifikate funktionieren – sonst könnte jede Site vorgeben, eine andere SSL-verschlüsselte Site zu sein. Zertifikate werden sowohl zur Authentifizierung als auch zur Verschlüsselung verwendet, wobei die Identitätsüberprüfung von der Zertifizierungsstelle (CA) beim Kauf des Zertifikats durchgeführt wird. Wenn Sie nicht die Person sind, die Sie beim Kauf des Zertifikats vorgeben zu sein, sollte die CA sich weigern, es zu erstellen oder Ihnen auszustellen – wenn sie diesen Überprüfungsschritt nicht durchführt, wird sie aus der standardmäßigen Liste vertrauenswürdiger CAs entfernt, die mit Webbrowsern wie Firefox, Chromium, IE, Edge usw. verteilt wird.
Die „normale“ Vorgehensweise besteht darin, Ihren eigenen HTTPS-Server für Ihre Domäne MIT einem Zertifikat zu betreiben, das von einer Zertifizierungsstelle signiert wurde, die dem Browser bekannt ist und der er vertraut. Für private/Intranet-Webanwendungen können Sie Ihre eigene Zertifizierungsstelle betreiben und das Zertifikat der Zertifizierungsstelle an Ihre Benutzer verteilen. Für öffentliche Websites ist es am besten/einfachsten, einfach ein Zertifikat von einer der bekannten Zertifizierungsstellen zu kaufen.
Der Anwendungscode auf Ihrem Server sollte dann die erforderlichen Daten von Amazon abrufen und an den Benutzer zurückgeben, der weder wissen noch sich darum kümmern muss, dass Amazon beteiligt war.
Antwort2
Ein CNAME ist keine Umleitung, sondern ein Alias. Er teilt einem DNS-Resolver mit, dass Ihre Adresse s3.example.com dieselben DNS-Informationen verwenden soll wie die S3-Domäne von Amazon.
Dies alles geschieht auf DNS-Ebene, nicht auf Browserebene. Der Browser stellt weiterhin eine Verbindung zu s3.example.com her. Wenn er also versucht, das SSL-Zertifikat zu validieren, erwartet er, ein Zertifikat zu finden, das mit dieser Domäne übereinstimmt.
Ich kenne die Dienste von Amazon nicht, aber Sie benötigen eine Möglichkeit, damit Amazon ein gültiges Zertifikat vorlegen kann, um Ihre benutzerdefinierte Domäne mit HTTPS verwenden zu können. Wenn das nicht möglich ist, müssen Sie entweder bei einfachem HTTP bleiben oder die Verwendung Ihrer benutzerdefinierten Domäne einstellen.