Naked Domain Redirect Ошибка при использовании SSL HTTPS в Google App Engine

У нас есть веб-сайт:

www.feeltracker.com

Это работает в Google App Engine

В Google App Engine у нас есть настройка перенаправления Naked Domain, так что:

http://feeltracker.com

перенаправляется на

http://www.feeltracker.com

Однако, когда мы пытаемся открыть в Chrome следующий адрес:

https://feeltracker.com (обратите внимание на HTTPS)

Мы получаем страницу с ошибкой Google со следующим сообщением:

Google
404. That’s an error.

The requested URL / was not found on this server. That’s all we know.

Кто-нибудь знает, как мы можем обеспечить https://feeltracker.com перенаправление на www.feeltracker.com?

Обратите внимание, что в Firefox мы получаем следующую дополнительную информацию при попытке открыть https://feeltracker.com:

feeltracker.com uses an invalid security certificate.

The certificate is only valid for the following names:
*.google.com , *.android.com , *.appengine.google.com , *.cloud.google.com , *.google-analytics.com , *.google.ca , *.google.cl , *.google.co.in , *.google.co.jp , *.google.co.uk , *.google.com.ar , *.google.com.au , *.google.com.br , *.google.com.co , *.google.com.mx , *.google.com.tr , *.google.com.vn , *.google.de , *.google.es , *.google.fr , *.google.hu , *.google.it , *.google.nl , *.google.pl , *.google.pt , *.googleapis.cn , *.googlecommerce.com , *.gstatic.com , *.urchin.com , *.url.google.com , *.youtube-nocookie.com , *.youtube.com , *.youtubeeducation.com , *.ytimg.com , android.com , g.co , goo.gl , google-analytics.com , google.com , googlecommerce.com , urchin.com , youtu.be , youtube.com , youtubeeducation.com  

(Error code: ssl_error_bad_cert_domain)

Обратите внимание, что мы используем сертификат SSL SNI в Google App Engine с нашим загруженным сертификатом. Когда мы запускаем SSL-диагностику с помощью http://www.digicert.com/help/, получаем следующее:

Certificate does not match name feeltracker.com


Subject *.google.com
Valid from 02/Jul/2013 to 31/Oct/2013
Issuer  Google Internet Authority


Subject Google Internet Authority
Valid from 12/Dec/2012 to 31/Dec/2013
Issuer  Equifax

Любые идеи, почему https://feeltracker.com не могут использовать правильный сертификат, тогда как www.feeltracker.com и http://www.feeltracker.com работает как ожидается с нашим сертификатом SSL?

Ответ 1

Обновление 16 сентября 2015 г.

Похоже, теперь это работает как Сообщение форума и Проблема 10802

Ранее применимая информация ниже...

В настоящее время он не поддерживается. naked domain redirect является обходным решением только для http, и вы, вероятно, заметите, что определенные IP-адреса, которые нужно поместить в ваш DNS, для этого отличаются от подхода и IP-адресов для ghs.googlehosted.com.

Это, по-видимому, указывает на то, что это разные части инфраструктуры Google, и им еще не удалось сделать их согласованными или совместной работой. Я не видел никаких подробностей о том, когда они разрешат это, так что это может быть долгое ожидание. например Связанный пост с 2009 года

Существует "признанная" проблема для Поддержка голого домена, поэтому, когда это исправлено, вероятно, эта проблема также будет решена.

Поскольку Google не собирается корректно обслуживать ваш сертификат в своем перенаправленном домене, на данный момент есть следующие параметры, которые я вижу:

Создайте/предоставите свой собственный обратный прокси (Apache httpd, лак и т.д.) или используйте обратную прокси-службу (например, CloudFlare) и укажите свой голый домен. Вы установили бы свой SSL на обратном прокси, клиенты подключались бы туда для вашего голого домена (без ошибок сертификата), и вы проксировали бы весь трафик на ваш настоящий сайт. Это может создать единую точку отказа и затрат в зависимости от того, что вы используете.
Аренда дешевого VPS, где вы устанавливаете веб-сервер, ваш сертификат и перенаправление script на https://www.feeltracker.com. В DNS укажите свой голый домен на этот сервер. Это может быть действительно дешевый сервер Linux, поскольку требования только для перенаправления очень низкие.
Найдите службу переадресации домена, которая поддерживает https и позволяет вам загрузить ваш сертификат. К сожалению, я ничего не знаю.
Используйте VIP (Virtual IP) SSL и настройте его в DNS для своего голого домена. Я не тестировал себя, но, похоже, это должно сработать, хотя я нашел старый комментарий здесь, которого он не может. Кто-нибудь проверил? ПРИМЕЧАНИЕ. Однако, насколько я мог видеть, что запись DNS имеет TTL всего 300 (5 минут), и Google не советует это, так что даже если бы это сработало, вам могут потребоваться некоторые сценарии для обновления ваших DNS-записей, так как есть время от времени меняется. Если он работает, то провайдеры DNS, такие как DNSSimple, имеют API, чтобы это было возможно.

Вероятно, второй вариант наиболее применим в вашем случае, поскольку вы, похоже, не возражаете против голого домена (что для многих является проблемой).

Недавно я нашел хороший пример: https://khanacademy.org/ Они, похоже, используют хост Amazon EC2 в соответствии со вторым вариантом выше.

https://khanacademy.org/ Resolving khanacademy.org... 107.20.223.238 
Connecting to khanacademy.org|107.20.223.238|:443... connected. 
WARNING: cannot verify khanacademy.org’s certificate, issued by "/C=US/ST=Arizona/L=Scottsdale/O=GoDaddy.com, Inc./OU=http://certificates.godaddy.com/repository/CN=Go Daddy Secure Certification Authority/serialNumber=07969287":   Unable to locally verify the issuer’s authority. WARNING: certificate common name "*.khanacademy.org" doesn’t match requested host name "khanacademy.org". 
HTTP request sent, awaiting response... 301 Moved
Permanently Location: https://www.khanacademy.org/ [following]
https://www.khanacademy.org/ Resolving www.khanacademy.org... 
72.14.249.132 Connecting to www.khanacademy.org|72.14.249.132|:443... connected. 

whois 107.20.223.238
OrgName:        Amazon.com, Inc.
OrgId:          AMAZO-4
Address:        Amazon Web Services, Elastic Compute Cloud, EC2

По состоянию на 12 апреля 2014 года похоже, что Google добился определенного прогресса и теперь позволяет сопоставлять домены не в Google Apps (см. issue 8517), хотя SSL пока не работает для этого метода (см. issue 10794 для отслеживания этого).

Ответ 2

Лучший бесплатный сервис переадресации SSL, который я нашел, был CloudFlare. Чтобы заставить его работать:

Добавьте свой домен и переключите свои серверы имен на CloudFlare (процесс регистрации проходит через него)
После добавления настроек CloudFlare и до SSL. Измените настройку на "Полный SSL (Strict)", для этого вам необходимо иметь действительный сертификат в субдомене, к которому вы перенаправляете (SNI работает нормально).
Вернитесь к списку своих веб-сайтов, снова выберите домен и правила доступа к странице. Добавьте правило "переадресация", которое перенаправляет https://yourdomain.com/* в https://www.yourdomain.com/$1 (замените www на любой поддомен), убедитесь, что для перенаправления установлено значение 301.
Сохраните настройки и откиньтесь назад и дождитесь, пока все будет распространено.

Готово. Бесплатное и безопасное перенаправление SSL для вашего голого домена.

Ответ 3

GAE официально не поддерживает голые домены. То, что вы видите, является ограничением GAE, вы ничего не делаете неправильно. https://developers.google.com/appengine/kb/general#naked_domain

Ответ 4

Видимо, перенаправление домена на HTTPS не поддерживается. Об этом не говорится в официальных документах. Если вы посмотрите на документы поддержки, которые вы видите на скриншотах, в которых голые перенаправления конкретно указываются http://.

Судя по потокам групп Google, переадресация разрешенного домена SSL невозможна: здесь, .

Ответ 5

Используйте https://www.301redirect.it/ для выполнения любых перенаправлений http или https бесплатно.