下面的引述来自 google chrome 66 发行说明：

弃用

为本地锚策略启用 CommonName 回退

提供 EnableCommonNameFallbackForLocalAnchors 策略是为了让管理员有更多时间更新他们的本地证书。它删除了允许站点上的证书使用由缺少 subjectAlternativeName 扩展名的本地信任锚颁发的证书的能力。

从 Chrome M66 开始，我们将弃用此政策。如果运行 Chrome 66 的用户尝试访问不允许使用该证书的站点，他们将看到一条警告，表明他们不能信任该证书。

我使用的一些证书不包含Subject Alternative Name现在似乎是强制性的扩展。

考虑到我应该检查的证书数量，我不喜欢手动执行此操作。

有没有办法查询服务器并确定他们的证书是否有Subject Alternative Name扩展名？

我在 CentOS7 上安装了 Jenkins，但在尝试更新/安装插件时遇到 SSL 错误。经过一番调查，结果发现我在 Java CA 存储中缺少根 CA 证书。

我使用该keytool实用程序将丢失的 CA 证书添加到 Java CA 存储中并且它有效。但是，我发现不得不篡改它很烦人。

难道没有办法让Java继承系统信任的根CA证书吗？如果是，如何？

我知道可以通过创建隧道将 SSH 从服务器 A 转发到服务器 B。

我要的是上面架构中的红色替代方案。能否实现这种场景：

1. SSH 到服务器 A
2. 服务器 A 告诉客户端转到服务器 B
3. 服务器 B 通过 SSH 直接与客户端通信

所以基本上是一种代理，在将客户端-服务器相互介绍之后，他就退出了通信。

我想使用防火墙重定向并不能提供太多自定义。

我最终寻求的是一种通过 SSH 访问 git 镜像对客户端透明的方法，具体取决于地理位置。

高级场景场景

1. 客户端从服务器 A 拉取并更靠近服务器 B 被重定向到 B
2. 推送时，客户端仍然在服务器 A 上