cURL по-разному ведет себя по отношению к сертификатам SSL при использовании флага -v (подробный)?
Использование Ubuntu 16.04, curl версия 7.47.0
Я пытаюсь отладить проблему с сертификатом SSL и наблюдаю странное поведение при использовании curl . Когда я просто запускаю:
ubuntu@ip-172-30-0-81:~$ curl https://myapp.com/hello
curl: (51) SSL: certificate subject name (cloud.mynameserver.com) does not match target host name 'myapp.com'
Однако когда я прикрепляю флаг -v :
ubuntu@ip-172-30-0-81:~$ curl -v https://myapp.com/hello
* Trying {IP REDACTED}...
* Connected to myapp.com ({IP REDACTED}) port 443 (#0)
* found 173 certificates in /etc/ssl/certs/ca-certificates.crt
* found 692 certificates in /etc/ssl/certs
* ALPN, offering http/1.1
* SSL connection using TLS1.2 / ECDHE_RSA_AES_256_GCM_SHA384
* server certificate verification OK
* server certificate status verification SKIPPED
* common name: myapp.com (matched)
* server certificate expiration date OK
* server certificate activation date OK
* certificate public key: RSA
* certificate version: #3
* subject: CN=myapp.com
* start date: Sat, 31 Dec 2016 22:57:00 GMT
* expire date: Fri, 31 Mar 2017 22:57:00 GMT
* issuer: C=US,O=Let's Encrypt,CN=Let's Encrypt Authority X3
* compression: NULL
* ALPN, server accepted to use http/1.1
> GET /hello HTTP/1.1
> Host: myapp.com
> User-Agent: curl/7.47.0
> Accept: */*
>
< HTTP/1.1 200 OK
< Server: nginx/1.10.0 (Ubuntu)
< Date: Sat, 21 Jan 2017 00:25:15 GMT
< Content-Type: application/json
< Transfer-Encoding: chunked
< Connection: keep-alive
< Strict-Transport-Security: max-age=63072000; includeSubdomains
< X-Frame-Options: DENY
< X-Content-Type-Options: nosniff
<
* Connection #0 to host myapp.com left intact
{"message": "Hello World"}
Обратите внимание на самый конец, {"message": "Hello World"} , это ожидаемый ответ.
Почему curl ведет себя по-другому в отношении доверия к деталям сертификата SSL при работе в подробном режиме? Насколько я могу судить, это не указано на странице man .
Сизде ошол эле хост аталышындагы эки башка A (же AAAA IPv6 үчүн) жазуулар бар окшойт. Хост аталышы үчүн бир нече жазуулар болгондо, бул хост хостунун ар бир изделишинде ар кандай IP дарегин тегерек стилде кайтарып берүүгө шарт түзөт.
Сураныч, кеңири режимде жана ансыз сурамдарды алмаштырганда, IP дареги да алмашып турат, оозеки эмес сурамдар туура эмес IP дарекке урунса, ал эми кеңири сурамдар туура IP дарекке урунат. Ушул себептен
subject: CN=myapp.com
сабына ылайык, кеңири даректе туура тастыктама пайда болот, ал эми кеңири эмес дарек үчүн башка ката берилет.
Мунун туура чечими туура эмесди алып салуу ] жазуусу бар, ошондуктан сиздин мазмунуңузга кызмат кылуу үчүн конфигурацияланган веб-серверлердин даректери гана көрүнөт.