[sage] vhost ohne TLS bei SNI
Dirk Wetter
dirk.wetter at guug.de
Wed Feb 12 11:43:06 CET 2014
Am 02/11/2014 08:33 PM, schrieb Stefan Neufeind:
> On 02/11/2014 07:16 PM, Dirk Wetter wrote:
>>
>> jemand eine saubere Idee?
>>
>> KOnstellation
>>
>> vhost1: Port 80+443
>> vhost2: Port 80+443
>> vhost3: Port 80
>>
>> openssl s_client -connect <vhost3>:443 -servername <vhost3> </dev/null
>>
>> gibt immer eins der Zertifikate von 2 oder 1. Eigentlich hätte
>> ich erwartet, dass SNI auch das verhindert.
>
> Hätte ich auch erwartet. Erhältst du vielleicht immer das Cert des
> ersten vhosts, wie auch der Standard-vhost bei http?
einen default habe ich nicht definiert, aber tatsächlich erhalte ich
immer das Cert des ersten vhosts (1 in diesem Beispiel).
> Dann wäre der
> Workaround einen kaputten" https vhost zu confen, so daß kein Cert
> "geleaked" wird, oder?
Eine bessere Lösung als Apache mag die config nicht oder Apache mag die
cOnfig, aber das Zertifikat ist falsch. Besseres ist meinen Fingern noch nicht
entsprungen. Soviel probiert habe ich aber nicht, muss ich gestehen.
Nginx hat das gleiche Problem auf 'nem anderen Host, quasi identische
Konstellation.
> Klingt aber (theoretisch auch für http?) mal nach einem zu schreibenden
> Patch - ein "leerer default-vhost" o.ä. ohne ihn explizit separat anzulegen.
BG, Dirk
More information about the SAGE
mailing list