Dva zabezpecene weby na jedne IP
Dan Lukes
dan at obluda.cz
Wed Sep 12 15:32:14 CEST 2007
Radek Tománek wrote:
> Lze provozovat dva zabezpecene virtualni webove servery na jedne IP adrese?
> Sice to nezkousim na "te spravne" platforme (apache), ale myslim, ze jde
> o "technologickou" otazku, bez ohledu na platformu . Pokud se pokousim rozjet
> druhy virtualní server na https, webserver mi hlasi, ze port je uz obsazen.
Bohuzel to je technologicky problem jehoz podstatu tu uz vysvetlili jini.
Chci se jen vratit k napadu "wildcard certifikatu". Pokud vim,
neexistuje zadne vseobecne prijate doporuceni tykajici se tohoto
problemu a moje prakticke zkusenosti jsou takove, ze nejen mezi
prohlizeci, ale dokonce i mezi verzemi dochazi k odlisnostem co se tyce
toho, jak maji presne udelany "matchovaci algoritmus".
Pouzivani wildcardu v certifikatech je tak v praxi tak trochu sazka do
loterie. Dalsi reseni teto situace jsou:
1. dalsi IP adresa
2. SSL WWW je na serveru jen jeden, pri pristupu na virtualni WWW se
zacina na nesifrovanem virtualnim WWW, ktery provede presmerovani na
"spolecny" sifrovany WWW, kde kazdy virtual je v jednom podadresari.
3. SSL WWW je vic, kazdy na jinem portu, ke kazdemu existuje nesifrovany
vistualni WWW, ktery provadi presmerovani.
Kazde z reseni ma urcite vyhody i vady, nejstandardnejsi je ale reseni
prvni.
Krome zmineneho budouciho reseni spocivajiciho v extenzi TLS, ktera uz
ve fazi navazovani sofrovaneho spojeni preda informaci po pozadovanem
virtualnim serveru by take problem resil nastup HTTP 2.0, ktere vedle
starsiho konceptu separatnich portu pro sifrovanou a nesifrovanou
komunikaci prinasi modernejsi metodu 'zacina se vzdy nesifrovane a
prikazem se navazane spojeni "upgraduje" na spojeni sifrovane'. Obdobny
postup jiz pouziva SMTP nebo POP3 (prikazy STARTTLS).
Dan
More information about the Users-l
mailing list