%3F.png)
Использую Ubuntu 16.04, curlверсия 7.47.0
Я пытаюсь отладить проблему с сертификатом SSL и наблюдаю странное поведение при использовании curl. Когда я просто запускаю:
ubuntu@ip-172-30-0-81:~$ curl https://myapp.com/hello
curl: (51) SSL: certificate subject name (cloud.mynameserver.com) does not match target host name 'myapp.com'
Однако когда я прикрепляю -vфлаг:
ubuntu@ip-172-30-0-81:~$ curl -v https://myapp.com/hello
* Trying {IP REDACTED}...
* Connected to myapp.com ({IP REDACTED}) port 443 (#0)
* found 173 certificates in /etc/ssl/certs/ca-certificates.crt
* found 692 certificates in /etc/ssl/certs
* ALPN, offering http/1.1
* SSL connection using TLS1.2 / ECDHE_RSA_AES_256_GCM_SHA384
* server certificate verification OK
* server certificate status verification SKIPPED
* common name: myapp.com (matched)
* server certificate expiration date OK
* server certificate activation date OK
* certificate public key: RSA
* certificate version: #3
* subject: CN=myapp.com
* start date: Sat, 31 Dec 2016 22:57:00 GMT
* expire date: Fri, 31 Mar 2017 22:57:00 GMT
* issuer: C=US,O=Let's Encrypt,CN=Let's Encrypt Authority X3
* compression: NULL
* ALPN, server accepted to use http/1.1
> GET /hello HTTP/1.1
> Host: myapp.com
> User-Agent: curl/7.47.0
> Accept: */*
>
< HTTP/1.1 200 OK
< Server: nginx/1.10.0 (Ubuntu)
< Date: Sat, 21 Jan 2017 00:25:15 GMT
< Content-Type: application/json
< Transfer-Encoding: chunked
< Connection: keep-alive
< Strict-Transport-Security: max-age=63072000; includeSubdomains
< X-Frame-Options: DENY
< X-Content-Type-Options: nosniff
<
* Connection #0 to host myapp.com left intact
{"message": "Hello World"}
Обратите внимание, что самый конец {"message": "Hello World"}— это ожидаемый ответ.
Почему curlведет себя по-разному в отношении доверия к данным сертификата SSL при работе в подробном режиме? manНасколько я могу судить, на странице это не указано.
решение1
Похоже, у вас есть две разные A(или AAAAдля IPv6) записи с одним и тем же именем хоста. Когда есть несколько записей для имени хоста, это приводит к тому, что каждый поиск этого имени хоста возвращает другой стиль циклического перебора IP-адресов.
Когда вы чередуете запросы с и без подробного режима, IP-адрес также меняется, что приводит к тому, что неподробные запросы попадают на неправильный IP-адрес, а подробные запросы попадают на правильный IP-адрес. Вот почему правильный сертификат появляется в подробном адресе в соответствии с
subject: CN=myapp.com
строке, тогда как в ошибке для неподробного адреса указан другой сертификат.
Правильным решением этой проблемы является удаление неверной Aзаписи, чтобы отображались только адреса веб-серверов, настроенных для обслуживания вашего контента.