主页 / ubuntu / 问题 / 1402743
Accepted
nightwatch
Asked: 2022-04-16 17:00:52 +0800 CST

本地 DNS 解析强制站点到 https://www。获得 LE SSL 证书后立即

  • 772

我见过的最奇怪的 DNS 问题。

情况:
在我的产品服务器上,当我的所有域都具有自签名 SSL 证书时,它们都可以正常工作。在我的本地计算机上,prod 服务器上的所有域都正确显示在我的 Web 浏览器中:( https://example.com 在我接受有关自签名 ssl 证书的浏览器警告之后)

问题:
在 prod 服务器上为我的任何域成功获得 Let's Encrypt SSL 后,立即导致我的所有本地 Web 浏览器都无法加载https://example.com。但是,(奇怪的部分) https://www.example.com可以正常工作。

测试: 1.) 我启动到我的 Windows 10 分区并
确认两者都正确加载在任何网络浏览器中。https://example.comhttps://www.example.com

2.)他的家庭网络上的一位朋友确认,https://example.com并且https://www.example.com两者都可以在他的本地浏览器中加载而没有任何问题。

只有在我的本地机器上的 ubuntu 20.04 中,https://example.com在获得 LE SSL 后,才会拒绝在任何 Web 浏览器中加载。

独特的方面:

我的 Ubuntu 20.04 设置的唯一独特之处是我运行了一个 vbox 测试服务器并使用 dnsmasq 进行本地 DNS 解析(这可能是无关信息)。减去我/etc/dnsmasq.conf设置的所有额外内容:

port=53
bogus-priv
listen-address=127.0.0.1,192.168.58.1
bind-interfaces
expand-hosts
domain=example-site.test

我还在本地机器上运行远程服务器/wireguard客户端的wireguard服务器(但是无论我是否连接到wireguard,这个问题仍然存在)

如果我$nslookup prod-server-domain.com 正确使用它会告诉我:

nslookup prod-server-domain.org
Server:     192.xxx.xx.xx   <--- wireguard server ip
Address:    192.xxx.xx.xx#53  <--- wireguard server ip

Name:   prod-server-domain.org
Address: xxx.xx.xxx.xxx        <--- public prod server ip

更加简化:
在为我的远程服务器的域名成功获得 LE SSL 证书之后,在世界上的每个网络浏览器上——除了我的本地 ubuntu 网络浏览器,网址https://example.comhttps://www.example.com两者都按预期正常工作,导致完全相同的网站。

只有在我的 ubuntu 安装中才会https://example.com失败

https://www.example.com工作。

当我在同一个家庭网络上的 Windows 分区上打开Web 浏览器https://example.comhttps://www.example.com使用相同的 ip 地址时,两者https://example.comhttps://www.example.com 可以正常工作

附加信息:

  1. 域都指向正确的 IP 地址

  2. 如果我完全停用 UFW 和 Wireguard,我也会遇到同样的问题

  3. SSL 是通过 Virtualmin 获得的,它确认 LE SSL 分配的正确 url 提交:

    在此处输入图像描述

    (都说example.org)

    在此处输入图像描述

Firefox 和所有其他浏览器显示此错误,https://example.org 在此处输入图像描述 而这在所有浏览器中都能完美运行: 在此处输入图像描述

user@machine:~$ curl example.org
curl: (7) Failed to connect to example.org port 80: No route to host
user@machine:~$ curl https://example.org
curl: (7) Failed to connect to example.org port 443: No route to host
user@machine:~$ curl https://www.example.org
<!DOCTYPE html>
<html>
<head>
    <title>Virtualmin</title>
    <meta charset="utf-8">

根据请求:

$ ip route list
default via 192.168.0.1 dev eth0 proto dhcp metric 100 
default via 192.168.0.1 dev wlp0s20f3 proto dhcp metric 600 
169.254.0.0/16 dev eth0 scope link metric 1000 
172.17.0.0/16 dev docker0 proto kernel scope link src 172.17.0.1 linkdown 
192.168.0.0/24 dev eth0 proto kernel scope link src 192.168.0.13 metric 100 
192.168.0.0/24 dev wlp0s20f3 proto kernel scope link src 192.168.0.18 metric 600
networking

3 个回答

  1. 比较 和 的$nslookup prod-server-domain.com结果$www.nslookup prod-server-domain.com。他们真的指向同一个IP吗?

    • 0
  2. Best Answer

    我终于想通了。

    我使用 dnsmasq 并且我的外部 DNS 服务器已停止工作。

    我选择了新的外部 DNS 服务器,现在一切正常。

    • 0

  3. 我假设您的本地自签名证书可以通过在浏览器中接受风险通知来工作,您已将它们添加到本地证书管理服务器或本地计算机密钥环中。

    首先要了解 Https://www.test.org 是按照 www 标准的,而不是像 Https://toast.test.org 这样的子域,而是直接重定向到 Https://test.org。即使在本地 DNS 中输入了单独的值,该服务也应该抱怨您试图将相同的索引重定向到两个不同的目标。

    第二个我看到的是你的 SSL 证书使用了通配符。虽然通配符很方便,因为只需要维护一个 SSL 证书 通配符证书会妨碍网络安全。我强烈建议您远离这些并实际设置适当的本地证书管理。

    虽然我不是 100% 确定,一旦服务器上的真实证书到位,您的本地设置和条目可能会停止正确的重定向。通常在服务器上设置证书会使之前指向它的任何本地自签名证书失效。通常这会收到一个 oopsidaisy 这个服务器更改了它的证书你真的确定你想去那里 m8 警告。

    您的 DNS 条目应该指向的唯一位置是 Https://test.org -> xxxx 用于您的主要服务。如前所述,万维网不应该有所作为,因为它是对上述内容的重定向。

    尝试从所有这些无效的自签名证书中释放您的客户端浏览器和操作系统密钥链,并且 Web 服务应该按预期工作。请注意,如果您的服务器不是暴露的主机,您需要确保将外部请求从您的 Web 入口点路由到您的服务器。

    • -1

相关问题