[sage] vhost ohne TLS bei SNI
Stefan Neufeind
neufeind at guug.de
Wed Feb 12 11:48:53 CET 2014
On 02/12/2014 11:43 AM, Dirk Wetter wrote:
> Am 02/11/2014 08:33 PM, schrieb Stefan Neufeind:
>> On 02/11/2014 07:16 PM, Dirk Wetter wrote:
>>>
>>> jemand eine saubere Idee?
>>>
>>> KOnstellation
>>>
>>> vhost1: Port 80+443
>>> vhost2: Port 80+443
>>> vhost3: Port 80
>>>
>>> openssl s_client -connect <vhost3>:443 -servername <vhost3> </dev/null
>>>
>>> gibt immer eins der Zertifikate von 2 oder 1. Eigentlich hätte
>>> ich erwartet, dass SNI auch das verhindert.
>>
>> Hätte ich auch erwartet. Erhältst du vielleicht immer das Cert des
>> ersten vhosts, wie auch der Standard-vhost bei http?
>
> einen default habe ich nicht definiert, aber tatsächlich erhalte ich
> immer das Cert des ersten vhosts (1 in diesem Beispiel).
>
>> Dann wäre der
>> Workaround einen kaputten" https vhost zu confen, so daß kein Cert
>> "geleaked" wird, oder?
>
> Eine bessere Lösung als Apache mag die config nicht oder Apache mag die
> cOnfig, aber das Zertifikat ist falsch. Besseres ist meinen Fingern noch nicht
> entsprungen. Soviel probiert habe ich aber nicht, muss ich gestehen.
>
> Nginx hat das gleiche Problem auf 'nem anderen Host, quasi identische
> Konstellation.
Was ist die Motivation, das was du "verhindern" willst (s.o.)? Jemandem
der auf der IP connected kein Zertifikat zu präsentieren bzw. nicht
"auszuplaudern" welche Website dort per https erreichbar ist?
Wenn ja, sollte ein "leerer" Host mit ungültigem Zertifikat o.ä. dafür
doch vollkommen ausreichen.
Grüße,
Stefan
More information about the SAGE
mailing list