[sage] vhost ohne TLS bei SNI
Dirk Wetter
dirk.wetter at guug.de
Wed Feb 12 12:09:20 CET 2014
Am 02/12/2014 11:48 AM, schrieb Stefan Neufeind:
> On 02/12/2014 11:43 AM, Dirk Wetter wrote:
>> Am 02/11/2014 08:33 PM, schrieb Stefan Neufeind:
>>> On 02/11/2014 07:16 PM, Dirk Wetter wrote:
>>>>
>>>> jemand eine saubere Idee?
>>>>
>>>> KOnstellation
>>>>
>>>> vhost1: Port 80+443
>>>> vhost2: Port 80+443
>>>> vhost3: Port 80
>>>>
>>>> openssl s_client -connect <vhost3>:443 -servername <vhost3> </dev/null
>>>>
>>>> gibt immer eins der Zertifikate von 2 oder 1. Eigentlich hätte
>>>> ich erwartet, dass SNI auch das verhindert.
>>>
>>> Hätte ich auch erwartet. Erhältst du vielleicht immer das Cert des
>>> ersten vhosts, wie auch der Standard-vhost bei http?
>>
>> einen default habe ich nicht definiert, aber tatsächlich erhalte ich
>> immer das Cert des ersten vhosts (1 in diesem Beispiel).
>>
>>> Dann wäre der
>>> Workaround einen kaputten" https vhost zu confen, so daß kein Cert
>>> "geleaked" wird, oder?
>>
>> Eine bessere Lösung als Apache mag die config nicht oder Apache mag die
>> cOnfig, aber das Zertifikat ist falsch. Besseres ist meinen Fingern noch nicht
>> entsprungen. Soviel probiert habe ich aber nicht, muss ich gestehen.
>>
>> Nginx hat das gleiche Problem auf 'nem anderen Host, quasi identische
>> Konstellation.
>
> Was ist die Motivation, das was du "verhindern" willst (s.o.)?
gute Frage!
> Jemandem
> der auf der IP connected kein Zertifikat zu präsentieren bzw. nicht
> "auszuplaudern" welche Website dort per https erreichbar ist?
das ist im vorliegenden Fall sekundär, aber ein guter Hinweis!
> Wenn ja, sollte ein "leerer" Host mit ungültigem Zertifikat o.ä. dafür
> doch vollkommen ausreichen.
Ich finde einfach ein falsches Zertifikat unschön. #duck.
Im Ernst, ich habe schon bei anderer Gelegenheit einen Shitstorm gesehen, weil
jemand bei einer Webseite, die nur via http erreichbar ist, einen
HTTPS-Link aus versehen gepostet hat. Dass jemand da was falsch
verstanden hat, ist denn zweitrangig.
Am liebsten soll eigentlich kein Zertifikat präsentiert werden.
Spontan fällt mir nur sonst ein SSLv2 mit aDH oder aNULL auf
dem vhost zu konfigurieren. ;) Das sollte kein Browser mehr fressen.
Ist aber unter Ubuntu LTS mit SSLv2 nicht so ohne weiteres möglich...
BG, Dirk
More information about the SAGE
mailing list