Redirección de dominio desnudo Fallando al usar HTTPS SSL en el motor de Google App

Tenemos un sitio web:

Www.feeltracker.com

Esto se está ejecutando en Google App Engine

En el Motor de Google App, tenemos la configuración de redireccionamiento de dominio desnudo, de modo que:

Http://feeltracker.com

Redirige a

Http://www.feeltracker.com

Sin embargo, cuando tratamos de abrir la siguiente dirección en Chrome:

Https://feeltracker.com (observe el HTTPS)

Obtenemos una página de error de Google con el mensaje siguiente: 

Google
404. That’s an error.

The requested URL / was not found on this server. That’s all we know.

¿alguien sabe cómo podemos asegurar https://feeltracker.com redirige a www.feeltracker.com?

Ten en cuenta que en Firefox obtenemos la siguiente información adicional al intentar abrir https://feeltracker.com : 

feeltracker.com uses an invalid security certificate.

The certificate is only valid for the following names:
*.google.com , *.android.com , *.appengine.google.com , *.cloud.google.com , *.google-analytics.com , *.google.ca , *.google.cl , *.google.co.in , *.google.co.jp , *.google.co.uk , *.google.com.ar , *.google.com.au , *.google.com.br , *.google.com.co , *.google.com.mx , *.google.com.tr , *.google.com.vn , *.google.de , *.google.es , *.google.fr , *.google.hu , *.google.it , *.google.nl , *.google.pl , *.google.pt , *.googleapis.cn , *.googlecommerce.com , *.gstatic.com , *.urchin.com , *.url.google.com , *.youtube-nocookie.com , *.youtube.com , *.youtubeeducation.com , *.ytimg.com , android.com , g.co , goo.gl , google-analytics.com , google.com , googlecommerce.com , urchin.com , youtu.be , youtube.com , youtubeeducation.com  

(Error code: ssl_error_bad_cert_domain)

Tenga en cuenta que estamos utilizando la capacidad de certificado SSL SNI en Google App Engine con nuestro certificado cargado. Cuando ejecutamos diagnósticos SSL a través de http://www.digicert.com/help / obtenemos el siguiente:

Certificate does not match name feeltracker.com


Subject *.google.com
Valid from 02/Jul/2013 to 31/Oct/2013
Issuer  Google Internet Authority


Subject Google Internet Authority
Valid from 12/Dec/2012 to 31/Dec/2013
Issuer  Equifax

Cualquier idea por qué https://feeltracker.com no utiliza el certificado correcto, mientras que www.feeltracker.com y http://www.feeltracker.com ¿funciona como se espera con nuestro certificado SSL?

Author: iyop45, 2013-07-12
Source

5 answers

Actualización 16 Sept 2015

Parece que esto ahora puede funcionar según Forum post y Issue 10802

Información anteriormente aplicable a continuación...

Actualmente no está soportado. naked domain redirect es una solución alternativa solo para http y probablemente notará que las direcciones IP específicas que necesita colocar en su DNS difieren del enfoque y las direcciones IP para ghs.googlehosted.com.

Esto parece indicar que es diferentes partes de la infraestructura de Google y aún no han logrado que sean consistentes o funcionen juntos. No he visto ningún detalle sobre cuándo resolverán esto, por lo que podría ser una larga espera. por ejemplo, Publicación relacionada de 2009

Hay un problema "reconocido" para Soporte de dominio desnudo así que cuando se solucione, es probable que este problema también se resuelva.

Como Google no va a servir correctamente su certificado en su redirector de dominio desnudo entonces por ahora hay estas opciones que veo:

  • Cree / proporcione su propio proxy inverso (Apache httpd, varnish, etc.) o use un servicio de proxy inverso (p. ej. CloudFlare ) y apunta tu dominio desnudo allí. Instalaría su SSL en el proxy inverso, los clientes se conectarían allí para su dominio desnudo (sin errores de certificado) y proxy todo el tráfico a su sitio real. Podría crear un único punto de falla y costos dependiendo de lo que use.

  • Alquilar un coche barato VPS donde instala un servidor web, su cert y un script de redirección a https://www.feeltracker.com . En DNS asigne su dominio desnudo a ese servidor. Puede ser un servidor Linux muy barato ya que los requisitos solo para redirigir son muy bajos.

  • Busque un servicio de redirección de dominio que admita https y le permita cargar su certificado. Lamentablemente no estoy al tanto de ninguna.

  • Utilice VIP (IP virtual) SSL y configúrelo en DNS para su dominio desnudo. Me no me he probado a mí mismo, pero parece que debería funcionar, aunque encontré un viejo comentario aquí que puede que no. Alguien ha probado? Tenga en cuenta, sin embargo, por lo que pude ver, la entrada DNS tiene un TTL de solo 300 (5 minutos) y Google no lo aconseja, por lo que incluso si funcionó, es posible que necesite algunos scripts para actualizar sus entradas DNS, ya que hay una fuerte posibilidad de que cambie de vez en cuando. Si funciona, los proveedores de DNS como DNSSimple tienen una API, por lo que sería posible.

Probablemente la segunda opción es más aplicable en su caso, ya que no parece importarle el dominio desnudo (que para muchos es un problema).

Recientemente encontré un buen ejemplo: https://khanacademy.org / Parecen usar un host Amazon EC2 según la segunda opción anterior.

https://khanacademy.org/ Resolving khanacademy.org... 107.20.223.238 
Connecting to khanacademy.org|107.20.223.238|:443... connected. 
WARNING: cannot verify khanacademy.org’s certificate, issued by “/C=US/ST=Arizona/L=Scottsdale/O=GoDaddy.com, Inc./OU=http://certificates.godaddy.com/repository/CN=Go Daddy Secure Certification Authority/serialNumber=07969287”:   Unable to locally verify the issuer’s authority. WARNING: certificate common name “*.khanacademy.org” doesn’t match requested host name “khanacademy.org”. 
HTTP request sent, awaiting response... 301 Moved
Permanently Location: https://www.khanacademy.org/ [following]
https://www.khanacademy.org/ Resolving www.khanacademy.org... 
72.14.249.132 Connecting to www.khanacademy.org|72.14.249.132|:443... connected. 

whois 107.20.223.238
OrgName:        Amazon.com, Inc.
OrgId:          AMAZO-4
Address:        Amazon Web Services, Elastic Compute Cloud, EC2

A partir del 12 de abril de 2014 parece que Google hace algunos progresos y ahora permite el mapeo de dominios que no son de Google Apps (ver problema 8517 ), aunque aparece SSL no trabajar para ese método todavía (ver problema 10794 para el seguimiento de que).

 26
Author: Mark Doyle,
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/ajaxhispano.com/template/agent.layouts/content.php on line 61
2015-09-16 10:51:39

El mejor servicio de redirección SSL gratuito que encontré fue CloudFlare. Para que funcione:

  1. Agregue su dominio y cambie sus servidores de nombres a CloudFlare (el proceso de registro lo guía a través de él)
  2. Una vez agregado goto Configuración de CloudFlare y hasta SSL. Cambie la configuración a 'Full SSL (Strict)' esto requiere que tenga un certificado válido en el subdominio al que redirige (SNI funciona bien).
  3. Vuelva a su lista de sitios web, seleccione el dominio de nuevo y en la página opciones goto regla. Agregue una regla de 'reenvío' que redirija https://yourdomain.com/* a https://www.yourdomain.com/$1 (reemplace www con cualquier subdominio), asegúrese de que la redirección esté establecida en 301.
  4. Guarde su configuración y siéntese y espere a que todo se propague.

Hecho. Redirección SSL gratuita y segura para su dominio desnudo.

 7
Author: Parker,
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/ajaxhispano.com/template/agent.layouts/content.php on line 61
2015-02-05 09:37:46

GAE no admite oficialmente dominios desnudos. Lo que estás viendo es una limitación de GAE, no estás haciendo nada malo. https://developers.google.com/appengine/kb/general#naked_domain

 1
Author: dragonx,
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/ajaxhispano.com/template/agent.layouts/content.php on line 61
2013-07-12 12:32:11

Aparentemente redireccionamiento de dominio desnudo en HTTPS no es compatible. No hay mención de esto en los documentos oficiales. Si nos fijamos en los documentos de soporte se ve en las capturas de pantalla que naked redirect indica específicamente http://.

A juzgar por los hilos de Google Groups, la redirección SSL naked domain no es posible: aquí, aquí .

 1
Author: Peter Knego,
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/ajaxhispano.com/template/agent.layouts/content.php on line 61
2013-10-28 21:17:16

Use https://www.301redirect.it / para hacer redirecciones http o https gratis.

 1
Author: Vasumithra,
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/ajaxhispano.com/template/agent.layouts/content.php on line 61
2017-10-08 19:25:55