polyfill.io的CDN SSL证书怎么了？

Question

证书错误不时发生，但这看起来非常可疑。所有这些名字的证书？这是怎么回事？ CDN被黑了？

如果是这样，最好的办法是什么？取下它直到它被修复？这对我们用户群的很大一部分都是不利的。一个被黑的CDN更糟糕，我想......也许有人知道到底发生了什么？

Answer 1

我是polyfill.io的维护者之一，也是Fastly员工。昨天我们对DNS配置进行了更改以启用对HTTP / 2.0的支持。这样做会在主机名中产生一个小错字，导致我们的DNS定位到Fastly网络上的错误端点，以及一个对polyfill.io或cdn.polyfill.io无效的证书。在意识到错误后，我们更正了条目，并且传播大约需要30分钟。

经验教训包括在更改完成后的一段时间内不会增加DNS TTL，以防需要回滚更改。

证书上列出的名称太多的原因是我们与其他Fastly客户共享证书。这对于CDN提供商来说是完全正常的做法。

有关GitHub问题的更多信息：

https://github.com/Financial-Times/polyfill-service/issues/1208

我们对这种停机感到非常失望。通常，polyfill.io具有非常好的正常运行时间记录，我们计划原始中断。很难降低与主要公共领域的DNS更改相关的风险，但我们对每个受影响的人都非常抱歉。

Polyfill.io使用pingdom独立监控我们的正常运行时间并在此处报告该数字：https://polyfill.io/v2/docs/usage（数据延迟最多24小时）。

Answer 2

看起来＆＃34;他们＆＃34; （见下文）搞砸了，我无法在那个大的列表上看到cdn.polyfill.io或* .polyfill.io，因此错误大致相同。

（或者我可能忽略了其他一些问题）

为了启发你的名字，虚拟主机（在同一个HTTP端口上同一个IP地址上托管多个网站的行为）通过HTTPS /在/建立加密后发生，因此，在服务器呈现时证书到浏览器，它不知道用户所在的网站，该信息是加密请求的一部分。

因此，证书必须涵盖在该IP地址和端口组合上运行的所有安全网站。

内容分发网络的CDN，可能是一大堆东西正在这个＆＃34;网络＆＃34;托管，甚至可能不是由polyfill拥有（我不知道他们是谁），鉴于证书上的名字是＆＃34; f2.shared.global.fastly.net＆＃34;你可以推测真正的CDN，谁真正搞砸了证书，以及他们在那里的CDN上还有什么东西：）