He configurado una entrada CNAME para redirigir a través del depósito de Amazon S3, sin embargo, hay algo que no funciona como se supone (por mí, por supuesto) con CNAME. Espero redirigir un subdominio ficticio, digamos, por ejemplo, s3.example.comal depósito de Amazon S3 con el mismo nombre. .
Ahora el problema es que example.comno tiene SSL, mientras que el depósito de Amazon sí lo tiene. Por lo que supuse, con una regla CNAME debería redirigir el tráfico.antesPara llegar a mi servidor web y verificar la presencia de un certificado, tenga en cuenta que para este propósito el DNS está configurado para mi proveedor de dominio y no para mi proveedor de alojamiento.
¿Por qué alguna vez verifica SSL cuando hay una regla CNAME y está funcionando? Si, por ejemplo, elimino el sde la URL, se abre el archivo relativo en el depósito sin ninguna advertencia de certificado.
editar: el error devuelto es diferente, intentaré traducirlo y adaptarlo:
s3.mydomain.com is using a not valid certificate. the certificate is
only valid for the following names: *.s3.eu-central-1.amazonaws.com,
*.s3-eu-central-1.amazonaws.com, s3-eu-central-1.amazonaws.com, s3.eu-
central-1.amazonaws.com, s3.dualstack.eu-central-1.amazonaws.com,
*.s3.dualstack.eu-central-1.amazonaws.com, *.s3.amazonaws.com
Entonces parece que está leyendo la regla CNAME y buscando el dominio correcto (amazon s3), luego lo compara con mi dominio y ve que tiene un nombre diferente, luego se detiene antes de redirigir. Por esta razón si elimino el sno me dará ningún error. Ahora intentaría instalar let's encrypt y ver si tener un certificado ayudaría, pero supongo que aún así hará que este anuncio de verificación vuelva a dar un resultado similar, si no el mismo.
Respuesta1
El CNAME en su zona DNS funciona como esperaba, pero los navegadores verifican que el certificado presentado por el sitio web remoto sea válido para el dominio que se visita.
El servidor amazon s3 donde se almacenan sus datos no tiene ni presenta un certificado válido s3.mydomain.com, por lo que todos los visitantes verán la advertencia del certificado.
Esto es completamente normal y es exactamente como se supone que funcionan los certificados SSL; de lo contrario, cualquier sitio podría pretender ser cualquier otro sitio cifrado SSL. Los certificados se utilizan para la autenticación y también para el cifrado, y la autoridad certificadora (CA) realiza la verificación de identidad cuando se compra el certificado. Si no es quien dice ser cuando compra el certificado, la CA debe negarse a crearlo o emitirlo; si no realiza ese paso de verificación, se le eliminará de la CA confiable predeterminada. lista distribuida con navegadores web como Firefox, Chromium, IE, Edge, etc.
La forma "normal" de hacer lo que desea es ejecutar su propio servidor https para su dominio CON un certificado firmado por una autoridad de certificación conocida y confiable por el navegador. Para aplicaciones web de tipo privado/intranet, puede ejecutar su propia CA y distribuir el certificado de la CA a sus usuarios. Para los sitios web públicos, lo mejor y más fácil es comprar un certificado de una de las CA conocidas.
El código de la aplicación en su servidor debe luego recuperar los datos requeridos de Amazon y devolverlos al usuario, quien nunca necesita saber ni preocuparse de que Amazon esté involucrado.
Respuesta2
Un CNAME no es una redirección, es un alias. Lo que hace es decirle a un solucionador de DNS que su dirección s3.example.com debe usar la misma información de DNS que el dominio s3 de Amazon.
Todo esto sucede a nivel de DNS, no a nivel de navegador. En lo que respecta al navegador, todavía se está conectando a s3.example.com, por lo que cuando intenta validar el certificado SSL espera encontrar un certificado que coincida con ese dominio.
No estoy familiarizado con los servicios de Amazon, pero necesitará una forma de presentar un certificado válido para usar su dominio personalizado con HTTPS. Si eso no es posible, tendrás que ceñirte al HTTP simple o dejar de usar tu dominio personalizado.