Tại sao CNAME không hoạt động như mong muốn?

Tôi đã đặt mục nhập CNAME để chuyển hướng qua nhóm Amazon S3, tuy nhiên có một số thứ không hoạt động như giả định (tất nhiên là với tôi) với CNAME, tôi hy vọng sẽ chuyển hướng một tên miền phụ hư cấu, ví dụ như s3.example.comnhóm Amazon S3 có cùng tên .

Bây giờ vấn đề là example.comkhông có SSL trong khi Amazon xô thì có. Đối với những gì tôi giả định, với quy tắc CNAME, nó sẽ chuyển hướng lưu lượng truy cập trước khi đến máy chủ web của tôi và kiểm tra sự hiện diện của chứng chỉ, lưu ý rằng với mục đích này, DNS được đặt cho nhà cung cấp tên miền của tôi chứ không phải nhà cung cấp dịch vụ lưu trữ của tôi.

Tại sao nó lại kiểm tra SSL khi có quy tắc CNAME và nó đang hoạt động? Ví dụ, nếu tôi xóa surl, nó sẽ mở tệp tương đối trong nhóm mà không có bất kỳ cảnh báo chứng chỉ nào.

chỉnh sửa : lỗi trả về là khác nhau, tôi sẽ cố gắng dịch và điều chỉnh nó:

s3.mydomain.com is using a not valid certificate. the certificate is 
only valid for the following names: *.s3.eu-central-1.amazonaws.com, 
*.s3-eu-central-1.amazonaws.com, s3-eu-central-1.amazonaws.com, s3.eu-
central-1.amazonaws.com, s3.dualstack.eu-central-1.amazonaws.com, 
*.s3.dualstack.eu-central-1.amazonaws.com, *.s3.amazonaws.com 

Sau đó, có vẻ như anh ta đang đọc quy tắc CNAME và tìm kiếm tên miền chính xác (amazon s3) sau đó nó đối đầu với tên miền của tôi và thấy đó là một tên khác, sau đó dừng lại trước khi chuyển hướng. Vì lý do này nếu tôi loại bỏ snó sẽ không có lỗi. Bây giờ tôi sẽ thử cài đặt mã hóa và xem nếu có chứng chỉ sẽ giúp ích, nhưng tôi đoán nó sẽ vẫn khiến quảng cáo kiểm tra này cung cấp lại một lần nữa nếu không có kết quả tương tự.

CNAME trong vùng DNS của bạn hoạt động như bạn mong đợi, nhưng các trình duyệt kiểm tra xem chứng chỉ được trình bày bởi trang web từ xa có hợp lệ cho tên miền được truy cập không.

Máy chủ amazon s3 nơi lưu trữ dữ liệu của bạn không có hoặc xuất trình chứng chỉ hợp lệ s3.mydomain.com, vì vậy tất cả khách truy cập sẽ thấy cảnh báo chứng chỉ.

Điều này là hoàn toàn bình thường và chính xác là cách chứng chỉ SSL được cho là hoạt động - nếu không, bất kỳ trang web nào cũng có thể giả vờ là bất kỳ trang web được mã hóa SSL nào khác. Chứng chỉ được sử dụng để xác thực cũng như chỉ mã hóa, với việc xác minh danh tính được Cơ quan cấp chứng chỉ (CA) thực hiện khi chứng chỉ được mua. Nếu bạn không phải là người bạn nói khi bạn mua chứng chỉ, CA sẽ từ chối tạo hoặc cấp nó cho bạn - nếu họ không thực hiện bước xác minh đó, họ sẽ thấy mình bị xóa khỏi CA đáng tin cậy mặc định danh sách được phân phối với các trình duyệt web như Firefox, Chromium, IE, Edge, v.v.

Cách "thông thường" để làm những gì bạn muốn chạy máy chủ https của riêng bạn cho tên miền của bạn VỚI chứng chỉ được ký bởi cơ quan cấp chứng chỉ được trình duyệt biết và tin cậy. Đối với các ứng dụng web loại riêng tư / mạng nội bộ, bạn có thể chạy CA của riêng mình và phân phối chứng chỉ của CA cho người dùng của bạn. Đối với các trang web công cộng, tốt nhất / dễ nhất là chỉ cần mua chứng chỉ từ một trong những CA nổi tiếng.

Mã ứng dụng trên máy chủ của bạn sau đó sẽ tìm nạp dữ liệu cần thiết từ amazon và trả lại cho người dùng, những người không bao giờ cần biết hoặc quan tâm rằng amazon có liên quan.

Một CNAME không phải là một chuyển hướng, nó là một bí danh. Những gì nó làm là nói với trình phân giải DNS rằng địa chỉ s3.example.com của bạn sẽ sử dụng cùng thông tin DNS với tên miền s3 của amazon.

Tất cả điều này xảy ra ở cấp DNS, không phải cấp trình duyệt. Theo như trình duyệt có liên quan, nó vẫn đang kết nối với s3.example.com, vì vậy khi nó cố gắng xác thực chứng chỉ SSL, nó sẽ tìm thấy một chứng chỉ phù hợp với tên miền đó.

Tôi không quen thuộc với các dịch vụ của amazon nhưng bạn sẽ cần một cách để họ xuất trình chứng chỉ hợp lệ để sử dụng tên miền tùy chỉnh của bạn với HTTPS. Nếu điều đó là không thể, bạn sẽ phải sử dụng HTTP đơn giản hoặc ngừng sử dụng tên miền tùy chỉnh của mình.