申請SSL證書的文件驗證環節,申請的www子域,為什麼要驗證主域?
我有一個域名http://aaa.com,對http://www.aaa.com這個www子域名申請SSL證書,但是文件驗證環節,為什麼證書機構要求驗證 aaa.com 下某個指定文件的,而非我申請的 www.aaa.com 下某個指定文件?理論上,這兩個域名可以指向不同的IP地址,這樣的規定沒有道理呀。
附,阿里雲的說明:https://help.aliyun.com/knowledge_detail/48834.html
注意事項:如果已購買免費類型和DV類型證書,填寫的域名如果是主域名的www子域名(比如:www. aliyun .com),選擇文件驗證域名所有權類型時,CA方返回的域名是主域名。比如:申請的時候填寫的域名是www.aliyun.com,那麼需要驗證的域名是aliyun.com。
附,騰訊雲的說明:SSL 證書 域名驗證指引 - 操作指南 - 文檔中心 - 騰訊雲
對於 www 開頭的二級域名,例如http://www. domain .com/,您需進行以下兩步操作:
第一步對該域名添加 文件驗證。
第二步對其主域名 domain.com 進行驗證(不需要重新申請證書),驗證方法按照鏈接地址格式進行驗證,驗證值顯示一致。
因為簽發機構會幫你補全主域名,所以要驗證主域名。
aliyun, qcloud都是分銷SSL證書,驗證規則是CA定的,可以考慮使用DNS驗證最方便,不會干擾你網站正常運行
頒發機構對於www.域名會補充主域名,所以要求必須認證,不管是哪一個採取認證必須是主域名認證的,部分機構還對二級域名認證的也採取主域名認證方式,這是防止盜發。
無論是http://www.aaa.com還是http://bbb.aaa.com都是屬於http://aaa.com,所以無論申請www還是子域名,都只要驗證頂級域名就好了,證明域名歸你所有就ok了
和你用的服務商有關係。比如以前那個著名的startssl是隻能用DNS驗證;letsencrypt有DNS和http兩種方式,http方式申請什麼主機名就驗證什麼主機名,絕對不會加戲。
我覺得是為了安全。換個角度想。你向我申請,我怎麼知道你是不是這個域名的主人呢?驗證主域名是最好的方式,比如域名的主人解析了一個二級域名給你用只是讓你用來測試,你要申請ssl肯定要經過人家同意。
推薦閱讀: