apache + wildcard certificat
Dan Lukes
dan at obluda.cz
Wed Dec 3 18:42:08 CET 2008
Jan Dusatko napsal/wrote, On 12/03/08 17:32:
> Kdyz uz je o tom rec.
Je otazka, jestli tohle je misto, kde by o tom mela byt rec. Ja zatim
tazateli odpovidal mimo konferenci.
> Je vubec mozne vytvorit nejaky certifikat jinak nez pro danou IP adresu
To je nejake zmatene. Zacnu tim, ze obecne neexistuje zpusob, jak
zjistit, ze ten, kdo se certifikatem prezentuje je tim, kdo ho
prezentovat skutecne smi. Pokud neco takoveho chceme, pak si to musi
nejak vyresit aplikace.
Zakladni princip HTTP je - v CN je jmeno serveru. Nikoliv IP.A takove
jmeno muze byt v certifikatu pouze jedno. Certifikaty V3 umoznoji vlozit
do certifikatu dalsi "aliasy", ale to je zavisle na tom, aby aplikace
byla ochotna takovy udaj pouzit - a aby ho pouzila zpusobem, ktery
vystavitel certifikatu ocekava.
Dokonce ani u CN neni tohle dostatecne standardizovane (napriklad
neexistuje zadna vseobecne prijmuta definice wildcardu, tim mene toho,
jak ma byt vyhodnocovan "match").
> Bohuzel je porad problem s podporou TLS v prohlizecich, Apache na SSL vice certifikatu nepodporuje.
To vypada jako by mohl, kdyby chtel. Ale na SSL to mozne proste neni.
Informace o tom, ktery z virtualnich serveru je "osloven" se predava az
uvnitr HTTP requestu. Jenze ten uz se predava pres navazane SSL spojeni
- a k jeho navazani server jiz musi pouzit nejaky certifikat. Nema jak
vedet jaky, protoze potrebna informace nemuze dorazit driv.
Pro TLS existuje pokus pridat rozsireni, ktere uz pri navazovani umozni
TLS klientovi rict s jakym TLS serverem si preje navazat spojeni, coz by
umoznilo serveru vybrat si spravny certifikat, ale to je dodatecne
rozsireni protokolu - ani TLS klient ani TLS server nemusi byt schopen
tuto feature pouzit.
> Honza
Jo. A v reakci celej puvodni dopis prilepeny dole ...
Dan
P.S. Jen uplne blba komercni CA by nekomu vydala certifikat, ktery mu
umozni dalsi podepisovani a tim ji v jejim bussinesu nahradit. A kdyz to
udela, tak cena takoveho certifikatu bude velmi odlisna od ceny
certifikatu "bezneho".
More information about the Users-l
mailing list