Как сделать редирект с https://www.* на https://*?

Question

[pr0kazn1k]

Куплен Wildcard сертификат. Используем поддомены *.domain.ru. Но если обращаться https://www.*.domain.ru, то выскакивает ошибка "Ваше подключение не защищено" и понятно, так как домен получается 4 уровня и текущий Wildcard сертификат не распространяется на них. Подскажи есть ли вариант избавиться от www, чтобы все запросы https://www.*.domain.ru редиректили на https://*.domain.ru?

Comments

[Lynn «Кофеман»]

Без валидных сертификатов никак.
Откуда у вас вообще появляются запросы на www?

[pr0kazn1k]

Алексей Тен: напрямую если написать

[pr0kazn1k]

Алексей Тен: редирект с www на без www не поможет?

[Lynn «Кофеман»]

pr0kazn1k: Ну так не нужно напрямую писать.
Проверка сертификата происходит самой первой и если он невалиден никакого запроса не будет вообще и никакой редирект вы не сможете отдать.

[pr0kazn1k]

Алексей Тен: А разве последовательно не в конфиге определяется? если сначала идут правила редиректа, а потом правила сертификата

[Lynn «Кофеман»]

pr0kazn1k: Нет. SSL-handshake происходи ДО передачи любых данных.

И, на будущее, в конфиге nginx абсолютное большинство директив не зависят от порядка объявления.

[Юрий Чудновский]

pr0kazn1k: Сначала клиент обращается к серверу по айпи адресу и запрашивает сертификат. Сервер отдаёт сертификат, и клиент сверяется с ним, и только если сертификат устраивает клиента, он подаёт запрос серверу на установку SSL-соединения, после чего уже в защищённой шифрованием сессии даёт запрос из имени хоста, к которому хочет обратиться, и запрашиваемой страницы. Если сертификат не устроил клиента - сервер даже не узнает, какую страницу или на каком хосте хотел получить клиент.

[Lynn «Кофеман»]

Юрий Чудновский: справедливости ради, все современные браузеры умеют SNI, так что имя хоста сервер скорее всего узнает

Answer 1

[Александр]

Как-то так

server {
server_name "~^www\.(.*)$" ;
return 301 $scheme://$1$request_uri ;
}

Answer 2

[Влад Животнев]

Никак, браузер не сможет установить соедение с www.блабла.domain.com, т.к. нет валидного сертификата. Ну то есть сможет, если нажать "да-да, мне плевать" на очень красной и страшной странице.