Rezolv o problemă cu un furnizor SAS.Pentru a fi clar, această întrebare nu este „cum o repar?”, nici „ce anume cauzează această problemă?” -- mai degrabă, este „cum funcționează aceste tehnologii, astfel încât această combinație de simptome să fie posibilă?” Am deja un bilet de asistență deschis cu furnizorul (și aștept cu mai puțină răbdare ca acesta să fie transferat la cineva suficient de capabil). Scopul acestei întrebări este să-mi extind propria înțelegere a modului în care funcționează aceste lucruri (de obicei?) și ce variabile ar putea fi în joc pe care nu le-am luat în considerare.
Furnizorul menționat oferă o funcție de „personalizare a domeniului”, în care îi puteți accesa serviciul printr-un domeniu pe care îl controlați. (Le oferiți o cheie privată, plus un certificat cu lanț și adăugați o intrare CNAME care indică un domeniu aflat sub controlul furnizorului.)
Am doi „chiriași” cu acest furnizor -- unul pentru dezvoltare și unul pentru producție. Ambele sunt configurate cu domenii personalizate. Ei folosesc exact același certificat și PK; certificatul are domeniul de producție ca CN și ambele domenii de dezvoltare și producție sunt listate ca SAN.
Chiriașul de producție funcționează perfect, așa că știu că certificatul este corect. Cu toate acestea, atunci când vizitez chiriașul dev-ului în browserul meu, aproximativ 80-90% din timp primesc o eroare de certificat, iar când investighez, browserul meu raportează că certificatul prezentat este valid, dar nu este al meu, ci mai degrabă unul. care aparține vânzătorului (și, ca atare, nu listează domeniul meu ca CN sau SAN). Am încercat diferite browsere. Am încercat răsuci. Am încercat să intru de la distanță pe diverse servere la care am acces și să verific de acolo. Colegii mei, care sunt distribuiți în SUA, au încercat și ei. Comportamentul nu pare să varieze în funcție de software-ul client, hardware-ul client, locația geografică sau configurația rețelei.
În acel moment al procesului meu, mă gândesc „ok, au un grup de servere în spatele unui echilibrator de încărcare, iar unele dintre servere nu au certificatul corect și deci prezintă altceva într-un fel de rezervă. ." Sigur, bine, are sens.
Dar apoi am încercat Instrumentul DigiCert pentru securitatea site-urilor web, unde poți introduce un domeniu și acesta va evalua corectitudinea certificatului tău (printre altele). Folosind acel instrument, nu pot reproduce comportamentul intermitent; în schimb, eșuează de fiecare dată.
Ca inginer software cu câteva decenii de experiență în construirea de site-uri web și servicii în diverse stive, am o înțelegere destul de bună a certificatelor DNS, HTTPS, TLS, configurarea serverului web, rutarea rețelei, echilibrarea încărcăturii și așa mai departe. Dar sunt nedumerit cu privire la modul în care validatorul DigiCert ar putea vedea un comportament diferit de cel pe care îl văd eu.
Primul meu gând a fost o întârziere a propagării DNS, dar DNSChecker indică o astfel de problemă. Apoi, m-am gândit că DigiCert ar putea să memoreze ceva în cache, dar asta ar crea un defect flagrant în instrumentul lor. În ambele cazuri, probabilitatea acestei explicații a scăzut acum că acest comportament a persistat câteva zile.
Deci, întrebarea mea, pentru cei care au mai multă experiență în acest domeniu decât mine: ce explicații posibile există pentru ca experiența instrumentului DigiCert să fie diferită de orice alt client pe care l-am încercat?
(Ne cerem scuze dacă acesta nu este site-ul SE potrivit pentru o întrebare ca aceasta. Mi s-a părut o alegere mai bună decât Ingineria rețelei și, pe măsură ce mi-am examinat opțiunile, nu am văzut altele care să pară corecte.)
