apache mod_ssl kai virtualhosting (fwd)
Nikos Mavroyanopoulos
nmav at gnutls.org
Wed Mar 20 10:25:02 EET 2002
On Tue, Mar 19, 2002 at 11:35:12PM +0200, Christos Ricudis wrote:
> To problhma me to common SSL wrapping trick einai oti to certificate
> prepei na einai gnwsto kata to TCP connection establishment. Se ekeinh th
> fash toy connection omws, den einai gnwsto se poio virtual host
> apey8ynetai to HTTP request (h plhroforia brisketai ston HTTP
> header).
> Ypo8etw (den exw asxolh8ei kai poly me to SSL) oti kati tetoio
> 8a mporouse na epiteyx8ei me th xrhsh kapoiou STARTTLS-like mhxanismou
> ston opoio to SSL session arxizei se ysterh fash toy connection, afou exei
> antallax8ei arketh higher-layer plhroforia wste na mporei na katalabei
> poio certificate prepei na epileksei.
Ακριβώς. Αυτό περιγράφει το RFC2817. Το μειονέκτημα του είναι ότι
θα είναι ασύμβατο με όλους τους [broken] proxies. Πολλοί αναφέρουν οτι
υπάρχουν αρκετά 'security' related προβλήματα στο TLS upgrade του HTTP.
Μέχρι τώρα όσα έχω δει υπάρχουν επίσης και στο HTTPS. Ο μόνος λόγος που δεν
καθιερώθηκε το upgrade είναι ότι χρειαζόταν περισσότερες αλλαγές (hard coded
TLS-HTTP servers και clients, αντι για απλό wrapping κλπ).
Η άλλη λύση που δουλεύει όταν υπάρχουν λίγοι virtual hosts, είναι να
χρησιμοποιήσει κάποιος το subject alternative name του X.509 certificate,
και να προσθέσει εκεί τα επιπλέoν ονόματα του διακομιστή του. Δεν ξέρω
βέβαια κατα πόσο οι browser θα το ελεγξουν αυτό το πεδίο (το HTTPS
το επιβάλει το check).
Η λύση που θα προταθεί (είναι σε internet draft ακόμη) είναι να
στέλνεται το dnsname στο αρχικό TLS handshake (stay tuned).
> --
> Christos Ricudis
--
Nikos Mavroyanopoulos
mailto:nmav at gnutls.org
More information about the Linux-greek-users
mailing list