Tôi đang khắc phục sự cố với nhà cung cấp SAS.Rõ ràng, câu hỏi này không phải là "làm cách nào để khắc phục sự cố?", cũng không phải là "chính xác thì điều gì gây ra sự cố này?" -- đúng hơn, đó là "làm thế nào để những công nghệ này hoạt động, sao cho sự kết hợp các triệu chứng này có thể xảy ra?" Tôi đã mở phiếu hỗ trợ với nhà cung cấp (và tôi không đủ kiên nhẫn chờ đợi nó được báo cáo cho một người đủ năng lực). Mục đích của câu hỏi này là để mở rộng hiểu biết của tôi về cách thức hoạt động của những thứ này (thường là?) và những biến số nào có thể đang diễn ra mà tôi chưa xem xét.
Nhà cung cấp cho biết cung cấp tính năng "tùy chỉnh miền", nơi bạn có thể truy cập dịch vụ của họ thông qua miền mà bạn kiểm soát. (Bạn cung cấp cho họ một khóa riêng, cộng với chứng chỉ w/chuỗi và bạn thêm mục nhập CNAME trỏ đến miền dưới sự kiểm soát của nhà cung cấp.)
Tôi có hai "người thuê nhà" với nhà cung cấp này -- một cho mục đích phát triển và một cho sản xuất. Cả hai đều được định cấu hình với miền tùy chỉnh. Họ sử dụng cùng một chứng chỉ và PK; chứng chỉ có miền sản xuất là CN của nó và cả miền dev và prod được liệt kê là SAN.
Người thuê sản xuất hoạt động hoàn hảo, vì vậy tôi biết chứng chỉ là chính xác. Tuy nhiên, khi tôi truy cập đối tượng thuê nhà phát triển trong trình duyệt của mình, khoảng 80-90% trường hợp tôi gặp lỗi chứng chỉ và khi tôi điều tra, trình duyệt của tôi báo cáo rằng chứng chỉ được xuất trình là hợp lệ nhưng không phải của tôi mà là của tôi thuộc về nhà cung cấp (và do đó, không liệt kê miền của tôi là CN hoặc SAN). Tôi đã thử các trình duyệt khác nhau. tôi đã thử Xoăn. Tôi đã thử truy cập từ xa vào nhiều máy chủ khác nhau mà tôi có quyền truy cập và kiểm tra từ đó. Các đồng nghiệp của tôi, những người sống rải rác khắp Hoa Kỳ, cũng đã thử. Hiện tượng này dường như không thay đổi theo phần mềm máy khách, phần cứng máy khách, vị trí địa lý hoặc cấu hình mạng.
Tại thời điểm đó trong quy trình của mình, tôi nghĩ "ok, họ có một nhóm máy chủ phía sau bộ cân bằng tải và một số máy chủ không có chứng chỉ chính xác và vì vậy họ đang trình bày một thứ khác trong một số loại dự phòng ." Chắc chắn, tốt, có ý nghĩa.
Nhưng sau đó tôi đã cố gắng Công cụ Bảo mật Trang web của DigiCert, nơi bạn có thể nhập miền và nó sẽ đánh giá tính chính xác của chứng chỉ của bạn (trong số những thứ khác). Sử dụng công cụ đó, tôi không thể tái tạo hành vi không liên tục; thay vào đó, nó thất bại mọi lúc.
Là một kỹ sư phần mềm với vài thập kỷ kinh nghiệm xây dựng các trang web và dịch vụ trong nhiều ngăn xếp khác nhau, tôi có hiểu biết khá tốt về DNS, HTTPS, chứng chỉ TLS, cấu hình máy chủ web, định tuyến mạng, cân bằng tải, v.v. Nhưng tôi không hiểu làm thế nào trình xác thực DigiCert có thể nhìn thấy hành vi khác với những gì tôi thấy.
Suy nghĩ đầu tiên của tôi là sự chậm trễ lan truyền DNS, nhưng Trình kiểm tra DNS cho thấy không có vấn đề như vậy. Tiếp theo, tôi cân nhắc rằng DigiCert có thể đang lưu vào bộ đệm thứ gì đó ở phía họ, nhưng điều đó sẽ tạo ra một lỗ hổng rõ ràng trong công cụ của họ. Trong cả hai trường hợp, khả năng giải thích đó đã giảm đi khi hành vi này đã tồn tại trong vài ngày.
Vì vậy, câu hỏi của tôi, dành cho những người có nhiều chuyên môn về vấn đề này hơn tôi: có những lời giải thích khả dĩ nào cho trải nghiệm của công cụ DigiCert khác với mọi khách hàng khác mà tôi đã thử?
(Xin lỗi nếu đây không phải là trang SE phù hợp cho một câu hỏi như thế này. Nó có vẻ là lựa chọn tốt hơn Kỹ thuật mạng và khi tôi xem xét các tùy chọn của mình, tôi không thấy bất kỳ trang nào khác phù hợp.)
