Как исправить ошибки несоответствия имени хоста SSL

Несоответствие имени хоста означает, что сертификат не включает точное имя хоста, запрошенное клиентом. Браузеры и API-клиенты отклоняют это, чтобы предотвратить атаки «человек посередине».

Типичные шаблоны несоответствия

• В сертификате указан www.example.com, а запрос идёт на example.com.
• Сертификат выпущен для staging-хоста, но установлен в production.
• Ожидается, что wildcard покроет apex (он не покрывает корневой домен).

Чеклист исправления

1. Составьте список всех обслуживаемых имён хостов (example.com, www, поддомены).
2. Выпустите/перевыпустите сертификат с корректными записями SAN для каждого имени хоста.
3. Установите сертификат и полную цепочку на активном edge/proxy-узле.
4. Проверьте HTTPS-редиректы, чтобы трафик попадал только на покрытые имена хостов.
5. Повторно проверьте с помощью Проверка сайта и браузера.

Напоминание о wildcard

*.example.com покрывает поддомены вроде api.example.com, но не example.com. Если обслуживаете оба варианта, включите оба имени в SAN.

Если несоответствие появляется прерывисто

• Проверьте пулы балансировщика на узлы со старыми сертификатами.
• Проверьте статус развёртывания CDN edge во всех регионах.
• Убедитесь, что автоматизация не обновила один сертификат, а развернула другой.

Если SSL в порядке, но вы всё ещё получаете коды простоя, продолжите с руководством по устранению ошибок 5xx.