Naked Domain Redirect Error al usar HTTPS SSL en Google App Engine
google-app-engine forwarding (5)
Tenemos un sitio web:
www.feeltracker.com
Esto se está ejecutando en Google App Engine
En Google App Engine, tenemos la configuración de reenvío de Dominio Desnudo, de modo que:
redirige a
Sin embargo, cuando tratamos de abrir la siguiente dirección en Chrome:
https://feeltracker.com (observe el HTTPS)
Obtenemos una página de error de Google con el siguiente mensaje:
Google
404. That’s an error.
The requested URL / was not found on this server. That’s all we know.
¿Alguien sabe cómo podemos garantizar que https://feeltracker.com redireccione a www.feeltracker.com?
Tenga en cuenta que en Firefox obtenemos la siguiente información adicional cuando intentamos abrir https://feeltracker.com :
feeltracker.com uses an invalid security certificate.
The certificate is only valid for the following names:
*.google.com , *.android.com , *.appengine.google.com , *.cloud.google.com , *.google-analytics.com , *.google.ca , *.google.cl , *.google.co.in , *.google.co.jp , *.google.co.uk , *.google.com.ar , *.google.com.au , *.google.com.br , *.google.com.co , *.google.com.mx , *.google.com.tr , *.google.com.vn , *.google.de , *.google.es , *.google.fr , *.google.hu , *.google.it , *.google.nl , *.google.pl , *.google.pt , *.googleapis.cn , *.googlecommerce.com , *.gstatic.com , *.urchin.com , *.url.google.com , *.youtube-nocookie.com , *.youtube.com , *.youtubeeducation.com , *.ytimg.com , android.com , g.co , goo.gl , google-analytics.com , google.com , googlecommerce.com , urchin.com , youtu.be , youtube.com , youtubeeducation.com
(Error code: ssl_error_bad_cert_domain)
Tenga en cuenta que estamos utilizando la capacidad de certificado SSL de SNI en Google App Engine con nuestro certificado cargado. Cuando ejecutamos diagnósticos SSL a través de http://www.digicert.com/help/ obtenemos lo siguiente:
Certificate does not match name feeltracker.com
Subject *.google.com
Valid from 02/Jul/2013 to 31/Oct/2013
Issuer Google Internet Authority
Subject Google Internet Authority
Valid from 12/Dec/2012 to 31/Dec/2013
Issuer Equifax
¿Alguna idea de por qué https://feeltracker.com no puede usar el certificado correcto, mientras que www.feeltracker.com y http://www.feeltracker.com funcionan como se espera con nuestro certificado SSL?
Actualización 16 de septiembre de 2015
Parece que esto ahora puede funcionar según la publicación del Foro y el número 10802
Información aplicable anteriormente a continuación ...
Actualmente no es compatible. El redireccionamiento de dominio desnudo es una solución alternativa solo para http y probablemente notará que las direcciones IP específicas que necesita colocar en su DNS difieren del enfoque y las direcciones IP de ghs.googlehosted.com.
Esto parece indicar que se trata de partes diferentes de la infraestructura de Google y aún no han logrado que sean consistentes o que funcionen juntas. No he visto detalles sobre cuándo resolverán esto, así que podría ser una espera larga. por ejemplo, publicaciones relacionadas de 2009
Existe un problema "reconocido" para el soporte de dominio desnudo, por lo tanto, cuando se solucione, es probable que este problema también se resuelva.
Como Google no va a servir correctamente su certificado en su redirector de dominio desnudo, por ahora hay estas opciones que veo:
Haga / proporcione su propio proxy inverso (httpd de Apache, barniz, etc.) o use un servicio de proxy inverso (por ejemplo, CloudFlare ) y dirija allí su dominio desnudo. Instalaría su SSL en el proxy inverso, los clientes se conectarían allí para su dominio desnudo (sin errores de certificado) y transmitiría todo el tráfico a su sitio real. Podría crear un único punto de falla y costos dependiendo de lo que use.
Alquile un VPS barato donde instale un servidor web, su cert y una secuencia de comandos de redireccionamiento a https://www.feeltracker.com . En DNS, asigna tu dominio desnudo a ese servidor. Puede ser un servidor de Linux realmente económico ya que los requisitos para redirigir son muy bajos.
Encuentre un servicio de redireccionamiento de dominio que admita https y le permita cargar su certificado. Lamentablemente, no estoy al tanto de ninguno.
Use VIP (SSL virtual) SSL y configúrelo en DNS para su dominio desnudo. No me he probado, pero parece que debería funcionar, aunque encontré un viejo comentario here que podría no funcionar. ¿Alguien ha probado? NOTA, sin embargo, por lo que pude ver, la entrada DNS tiene un TTL de solo 300 (5 minutos) y Google no lo aconseja, por lo que incluso si funcionó, es posible que necesite algunos scripts para actualizar sus entradas de DNS, ya que hay una gran posibilidad de que cambios de vez en cuando. Si funciona, los proveedores de DNS como DNSSimple tienen una API, por lo que sería posible.
Probablemente la segunda opción sea más aplicable en su caso, ya que no parece importarle el dominio desnudo (que para muchos es un problema).
Recientemente encontré un buen ejemplo: https://khanacademy.org/ Aparentemente utilizan un host de Amazon EC2 según la segunda opción anterior.
https://khanacademy.org/ Resolving khanacademy.org... 107.20.223.238
Connecting to khanacademy.org|107.20.223.238|:443... connected.
WARNING: cannot verify khanacademy.org’s certificate, issued by “/C=US/ST=Arizona/L=Scottsdale/O=GoDaddy.com, Inc./OU=http://certificates.godaddy.com/repository/CN=Go Daddy Secure Certification Authority/serialNumber=07969287”: Unable to locally verify the issuer’s authority. WARNING: certificate common name “*.khanacademy.org” doesn’t match requested host name “khanacademy.org”.
HTTP request sent, awaiting response... 301 Moved
Permanently Location: https://www.khanacademy.org/ [following]
https://www.khanacademy.org/ Resolving www.khanacademy.org...
72.14.249.132 Connecting to www.khanacademy.org|72.14.249.132|:443... connected.
whois 107.20.223.238
OrgName: Amazon.com, Inc.
OrgId: AMAZO-4
Address: Amazon Web Services, Elastic Compute Cloud, EC2
A partir del 12 de abril de 2014, parece que Google avanza un poco y ahora permite el mapeo de dominios que no pertenecen a Google Apps (consulte el problema 8517 ), aunque parece que SSL aún no funciona para ese método (consulte el problema 10794 para rastrear eso).
Aparentemente, el redireccionamiento de dominio desnudo en HTTPS no es compatible. No hay mención de esto en documentos oficiales. Si miras los documentos de soporte que ves en las capturas de pantalla que redireccionan desnudos, especifican específicamente http://
.
A juzgar por los hilos de Grupos de Google, el redireccionamiento de dominio desnudo SSL no es posible: here , here .
El mejor servicio gratuito de redireccionamiento SSL que encontré fue CloudFlare . Para que funcione
- Agregue su dominio y cambie sus servidores de nombres a CloudFlare (el proceso de registro lo guiará a través de él)
- Una vez agregado, vaya a Configuración de CloudFlare y baje a SSL. Cambie la configuración a ''SSL completo (estricto)''. Esto requiere que tenga un certificado válido en el subdominio al que redirecciona (SNI funciona bien).
- Regrese a su lista de sitios web, seleccione el dominio nuevamente y en las opciones vaya a las reglas de la página. Agregue una regla ''Forwarding'' que redireccione
https://yourdomain.com/*
ahttps://www.yourdomain.com/$1
(reemplace www con cualquier subdominio), asegúrese de que la redirección esté configurada en 301. - Guarde su configuración y siéntese y espere a que todo se propague.
Hecho. Redirección de SSL gratuita y segura para su dominio desnudo.
GAE oficialmente no admite dominios desnudos. Lo que estás viendo es una limitación de GAE, no estás haciendo nada malo. https://developers.google.com/appengine/kb/general#naked_domain
Use https://www.301redirect.it/ para hacer redirecciones http o https de forma gratuita.