今天連到公司某個專案的一個 https 網站，意外的看到了不合法的 SSL 憑證 (certificate)，

Chrome 說憑證中的 Common Name 是無效的 (網址我偷改掉了，這邊只做舉例用)：

 

打開憑證來看看… 是發給 *.testdomain.com，

而網址是 www.url.testdomain.com，感覺上 * 是個萬用字元，

應該可以包含 www.url，所以應該沒有問題吧？

 

 

可惜並不是這麼一回事…

平常的憑證是會綁定一個網址如 www.google.com，

而像上面這種 *.testdomain.com 是一種 Wildcard certificate (參考 wikipedia: Wildcard certificate)，

因此 a.testdomain.com, b.testdomain.com 都可以符合這憑證的保護範圍，

但多了一個點的 www.url.testdomain.com 是不行的，

憑證上得寫 www.url.testdomain.com，或是 *.url.testdomain.com 才行～

 

了解這一點之後，趕緊通知該專案的同事，

看是要重簽憑證，還是要修改 https 網站的 URL～

不過原來萬用字元 * 不是走到哪都無敵的，真是見一事長一智啊～～

 

參考資料：Choosing the SSL Certificate Common Name