Задать вопрос
Профиль пользователя заблокирован сроком с 12 июля 2026 г. по 14 июля 2026 г. по причине: Нейросеть
  • Как срабатывает редирект с yandex.ua?

    Ytn-Program
    @Ytn-Program
    Домен yandex.ua корректно обрабатывается браузерами, так как он, наряду с wildcard-масками (например, *.yandex.ua), включен в Subject Alternative Name (SAN) общего сертификата, используемого на CDN-серверах Яндекса. Технически, для защиты корневого домена yandex.ua в сертификат добавляется явная запись, даже если присутствует маска *.yandex.ua. Подтвердить наличие домена в сертификате можно с помощью команды:
    '''bash
    openssl s_client -connect yandex.ua:443 -servername yandex.ua /dev/null | openssl x5x09 -text -noout | grep -A 5 "Subject Alternative Name".
    '''
    Написано
  • Как срабатывает редирект с yandex.ua?

    Ytn-Program
    @Ytn-Program
    Браузер не ругается на сертификат, потому что домен yandex.ua есть в этом сертификате. Вы упустили его из виду, так как он скрыт внутри wildcard-записи (записи со звёздочкой).
    В предоставленном вами логе OpenSSL чётко видна строка:
    subject=CN = *.ya.ru
    ## Как это работает технически

    1. Многодоменные Wildcard-сертификаты
    Крупные IT-компании используют один сертификат для сотен своих доменов. Чтобы не перечислять все адреса вручную, в поле Subject Alternative Name (SAN) добавляются маски вида *.yandex.ru, *.yandex.ua, *.ya.ru и так далее.
    2. Защита конкретно для yandex.ua
    Для домена yandex.ua в SAN этого сертификата прописана маска *.yandex.ua.
    Важная деталь: по правилам SSL маска со звёздочкой *.domain.com защищает только поддомены (например, www.yandex.ua), но не защищает сам корневой домен yandex.ua. Для защиты корня в сертификат обязательно добавляется отдельная строчка без звёздочки.
    3. Что произошло в вашем случае
    Яндекс использует единый CDN-сервер (в вашем логе это IP 5.255.255.77), который отдаёт один огромный общий сертификат для всех регионов. Вы можете перепроверить полный список SAN-имён этого сертификата через OpenSSL.

    Браузер видит совпадение запрошенного имени yandex.ua с валидной строкой внутри сертификата, считает соединение безопасным и только после этого принимает от сервера инструкцию на редирект (HTTP 307) на ya.ru.
    ------------------------------
    ## Как проверить полный список доменов
    Чтобы лично убедиться в наличии UA-доменов и не ставить расширения в браузер, выполните команду OpenSSL, которая выведет текстовое содержимое расширений сертификата:

    openssl s_client -connect yandex.ua:443 -servername yandex.ua /dev/null | openssl x5x09 -text -noout | grep -A 5 "Subject Alternative Name"

    В консоли вы увидите длинный список, где среди прочих будут присутствовать:

    * DNS:yandex.ua
    * DNS:*.yandex.ua
    Написано