[sage] vhost ohne TLS bei SNI

Stefan Neufeind neufeind at guug.de
Tue Feb 11 20:33:31 CET 2014


On 02/11/2014 07:16 PM, Dirk Wetter wrote:
> 
> jemand eine saubere Idee?
> 
> KOnstellation
> 
> vhost1: Port 80+443
> vhost2: Port 80+443
> vhost3: Port 80
> 
> openssl s_client -connect <vhost3>:443 -servername <vhost3> </dev/null
> 
> gibt immer eins der Zertifikate von 2 oder 1. Eigentlich hätte
> ich erwartet, dass SNI auch das verhindert.

Hätte ich auch erwartet. Erhältst du vielleicht immer das Cert des
ersten vhosts, wie auch der Standard-vhost bei http? Dann wäre der
Workaround einen kaputten" https vhost zu confen, so daß kein Cert
"geleaked" wird, oder?

Klingt aber (theoretisch auch für http?) mal nach einem zu schreibenden
Patch - ein "leerer default-vhost" o.ä. ohne ihn explizit separat anzulegen.


Grüße,
 Stefan



More information about the SAGE mailing list