Corriger les erreurs de non-concordance de nom d'hôte des certificats SSL

Une non-concordance de nom d'hôte signifie que le certificat n'inclut pas l'hôte exact demandé par le client. Les navigateurs et clients API le rejettent pour prévenir les attaques de type homme du milieu.

Schémas typiques de non-concordance

• Le certificat inclut www.example.com mais la requête cible example.com.
• Certificat émis pour un hôte de staging mais installé en production.
• Joker censé couvrir l'apex (il ne couvre pas le domaine racine).

Liste de correction

1. Listez tous les noms d'hôte que vous servez (example.com, www, sous-domaines).
2. Émettez/renouvelez le certificat avec les entrées SAN correctes pour chaque nom d'hôte.
3. Installez le certificat et la chaîne complète sur le nœud edge/proxy actif.
4. Validez les redirections HTTPS pour que le trafic n'atterrisse que sur des noms d'hôte couverts.
5. Retestez avec Vérificateur de sites et le navigateur.

Rappel sur les jokers

*.example.com couvre les sous-domaines comme api.example.com, mais pas example.com. Si vous servez les deux, incluez les deux noms dans les SAN.

Si la non-concordance apparaît de façon intermittente

• Vérifiez les pools du répartiteur de charge pour des nœuds avec d'anciens certificats.
• Vérifiez l'état de déploiement edge du CDN dans toutes les régions.
• Vérifiez que l'automatisation n'a pas renouvelé un certificat mais déployé un autre.

Si le SSL est sain mais que vous voyez encore des codes de panne, poursuivez avec Guide 500/502/503.