我們有一位客戶正在登入我們的網站並收到ERR_CERT_COMMON_NAME_INVALID.事實證明,當客戶登入我們的應用程式時,他們收到的 SSL 並非來自我們。起初是為了域*.adperfect.com,後來是*.ni.a1q7.net(這兩者我們都不熟悉)。我們使用 AWS 雲,我們的路由透過 ALB 處理,我們的憑證也透過 AWS 處理。沒有其他客戶經歷過這樣的事情。
這種情況發生在 Chrome 上的客戶身上,在隱身模式下,使用不同的瀏覽器時,甚至使用帶有數據互聯網的手機而不僅僅是 Wi-Fi 時。他們發誓他們沒有安裝任何可疑的東西,清除快取或資料並不重要。所有這一切看起來都非常可疑,但老實說,我真的無法判斷這裡可能發生了什麼。怎麼會發生這樣的事呢?客戶堅持認為只有當他們嘗試登入我們的服務而不是其他人的服務時才會發生這種情況。我願意相信我們配置錯誤,但是如何以及為什麼這意味著發送我們沒有的完全隨機的 ssl 證書,這讓我感到困惑。
關於這可能是什麼有什麼想法嗎?有人遇過類似的事情嗎?
答案1
您不會「收到 SSL」—您會收到一個(TLS 或 x509)憑證。
起初它是針對網域*.adperfect.com,後來是*.ni.a1q7.net(這兩個網域我們都不熟悉)
你檢查過他們是僅有的用戶受此影響嗎?更具體地說,您是否在當前網路之外對此進行了測試?
我們使用AWS雲
這是一個共享資源,所以它可能是遠端的配置問題。第一個網域(至少部分)託管在 AWS 上。找不到後者的任何名稱。
假設他們是唯一受此影響的人,那麼您的第一步就是檢查他們是否看到與其他人相同的 DNS 記錄。運行nslookup yoursite.example.com會告訴您和他們該名稱解析為什麼。讓受影響的客戶向您發送一份他們所獲得的證書副本也是一個好主意,以防萬一他們正在使用一些難以捉摸的 MITM 反惡意軟體產品。
您還應該檢查 ALB 配置。
答案2
您的 DNS 解析可能會有一些問題,因為...您列出的兩個網域也是 AWS Route53 網域:
$ host -t ns adperfect.com
adperfect.com name server ns-1304.awsdns-35.org.
adperfect.com name server ns-1893.awsdns-44.co.uk.
adperfect.com name server ns-240.awsdns-30.com.
adperfect.com name server ns-934.awsdns-52.net.
$ host -t ns ni.a1q7.net
ni.a1q7.net name server ns-1405.awsdns-47.org.
ni.a1q7.net name server ns-1852.awsdns-39.co.uk.
ni.a1q7.net name server ns-264.awsdns-33.com.
ni.a1q7.net name server ns-736.awsdns-28.net.
$
也許名稱解析的 IP 有拼字錯誤?