Dva zabezpecene weby na jedne IP

Dan Lukes dan at obluda.cz
Wed Sep 12 15:32:14 CEST 2007


Radek Tománek wrote:
> Lze provozovat dva zabezpecene virtualni webove servery na jedne IP adrese? 
> Sice to nezkousim na "te spravne" platforme (apache), ale myslim, ze jde 
> o "technologickou" otazku, bez ohledu na platformu . Pokud se pokousim rozjet 
> druhy virtualní server na https, webserver mi hlasi, ze port je uz obsazen.

	Bohuzel to je technologicky problem jehoz podstatu tu uz vysvetlili jini.

	Chci se jen vratit k napadu "wildcard certifikatu". Pokud vim, 
neexistuje zadne vseobecne prijate doporuceni tykajici se tohoto 
problemu a moje prakticke zkusenosti jsou takove, ze nejen mezi 
prohlizeci, ale dokonce i mezi verzemi dochazi k odlisnostem co se tyce 
toho, jak maji presne udelany "matchovaci algoritmus".

	Pouzivani wildcardu v certifikatech je tak v praxi tak trochu sazka do 
loterie. Dalsi reseni teto situace jsou:

1. dalsi IP adresa

2. SSL WWW je na serveru jen jeden, pri pristupu na virtualni WWW se 
zacina na nesifrovanem virtualnim WWW, ktery provede presmerovani na 
"spolecny" sifrovany WWW, kde kazdy virtual je v jednom podadresari.

3. SSL WWW je vic, kazdy na jinem portu, ke kazdemu existuje nesifrovany 
vistualni WWW, ktery provadi presmerovani.

	Kazde z reseni ma urcite vyhody i vady, nejstandardnejsi je ale reseni 
prvni.

	Krome zmineneho budouciho reseni spocivajiciho v extenzi TLS, ktera uz 
ve fazi navazovani sofrovaneho spojeni preda informaci po pozadovanem 
virtualnim serveru by take problem resil nastup HTTP 2.0, ktere vedle 
starsiho konceptu separatnich portu pro sifrovanou a nesifrovanou 
komunikaci prinasi modernejsi metodu 'zacina se vzdy nesifrovane a 
prikazem se navazane spojeni "upgraduje" na spojeni sifrovane'. Obdobny 
postup jiz pouziva SMTP nebo POP3 (prikazy STARTTLS).


							Dan





More information about the Users-l mailing list