証明書のエラーは時々起こりますが、これは非常に怪しいです。これらすべての名前の証明書ですか?どうしたの? CDNをハックしましたか?polyfill.ioのCDN SSL証明書はどうなりましたか?
もしそうなら、何をするのが最適でしょうか?それが修正されるまで削除しますか?それは私たちのユーザーベースの良い部分にとっては悪いことです。しかし、ハッキングされたCDNは悪化しています。おそらく、誰かが本当に何が起こっているのか分かっているのでしょうか?
「彼らは」(下記参照)、それをしくじったように見える、私はので、誤差はほとんど同じと言って、その大きなリストにcdn.polyfill.ioまたは* .polyfill.ioを見ることができません。
(または多分私はいくつかの他の問題を見過ごし)/名前についてあなたを啓発するために
に、仮想ホスティング(同じHTTPポート上で同じIPアドレスに複数のWebサイトをホスティングしているの行為が)オーバー発生HTTPS /後暗号化が確立されます。したがって、サーバーがブラウザに証明書を提示した時点で、ユーザーが正確にどのサイトにアクセスしているかわからない場合、その情報は暗号化された要求の一部です。
したがって、証明書は、そのIPアドレスとポートの組み合わせで動作するすべての安全なWebサイトをカバーする必要があります。
コンテンツ配信ネットワークのCDNおそらく、証明書のファーストネームが指定されていれば、おそらくポリフィールの所有者でもない(この人物は誰もわからない)、この "ネットワーク"にはおそらく膨大な数のものがホストされています。 "f2.shared.global.fastly.net"では、実際に証明書を捏造した真のCDNと、そこにCDN上でホストしている他のものを推測することができます:)
最新のTLS(HTTPS)実装では、接続する名前がHTTPレイヤーの仮想ホスト手段だけでなく、TLSセットアップ中に指定されるサービス名表示(SNI)というメカニズムがあります。 セキュリティで保護されたサイトは、IPアドレスを共有しているだけなので、証明書を共有する必要はありません.SNIを実装していないかなり古いソフトウェア(Windows XP、Android 2.x)で作業しないといけません。 CDNの場合、多くの名前を証明書にバンドルするのが簡単で、Windows XPとの互換性は素晴らしいボーナスです。 – tialaramex
私はpolyfillのメンテナーの一人です.io、およびFastly従業員。昨日、HTTP/2.0のサポートを有効にするためにDNS設定を変更しました。そうすることで、ホスト名に小さな誤植が付けられ、DNSがFastlyのネットワーク上の間違ったエンドポイントと、polyfill.ioまたはcdn.polyfill.ioには有効ではない証明書を対象としていました。このエラーを認識したら、入力を修正して伝播に約30分かかりました。
教訓には、変更がロールバックされる必要がある場合に備えて、変更後のしばらくするまでDNS TTLを増加させないことが含まれます。
証明書に非常に多くの名前が記載されている理由は、他のFastly顧客と証明書を共有しているからです。これはCDNプロバイダーのための完全な通常の練習です。
詳細については、関連するGitHubの問題で提供されています:
https://github.com/Financial-Times/polyfill-service/issues/1208
私たちは、このダウンタイムを被ることは非常に失望しています。一般に、polyfill.ioは非常に優れた稼働時間の記録を持ち、原点停止を計画しています。メインパブリックドメインに対するDNSの変更に伴うリスクを軽減するのは難しいですが、影響を受けるすべての人には非常に残念です。
Polyfill.ioは、pingdomを使用して稼働時間を個別に監視し、その番号をここに報告します:https://polyfill.io/v2/docs/usage(データは最大24時間の待ち時間があります)。
まだHSTSをサポートしていないブラウザ(この場合はIE10)でコンテンツを取得しようとしましたが、返されたJavaScriptは大丈夫です。今私はさらに何が起こっているのだろうかと思います。 – koehr