[sage] vhost ohne TLS bei SNI
Kurt Jaeger
pi at c0mplx.org
Wed Feb 12 12:34:46 CET 2014
Hi!
> > vhost3: Port 80
> > openssl s_client -connect <vhost3>:443 -servername <vhost3> </dev/null
> > gibt immer eins der Zertifikate von 2 oder 1. Eigentlich hätte
> > ich erwartet, dass SNI auch das verhindert.
>
> das habe ich bei mir auch.
>
> Ich löse das durch folgende Zeilen:
>
> <VirtualHost IP:443>
> ServerName vhost3
> ServerAdmin dirk at deimeke.net
> RewriteEngine on
> RewriteCond %{HTTP_HOST} !^$
> RewriteRule ^/(.*) http://vhost3/$1 [L,R]
> </VirtualHost>
Wenn ich es richtig verstehe, wird das damit das Zertifikat-Leak
nicht geloest ? Denn wenn der Client auf IP:443 reinkommt, wird
der Server ja auf jeden Fall ein Zertifikat praesentieren ?
Daher muesste man, um das zu verhindern, ein vhost mit 443 aufsetzen,
der ein bogus-self-signed hat ? Und der in der Evaluation
vor den andern vhosts kommt ?
Letzteres schaue ich mir immer mit:
/usr/local/sbin/httpd -t -D DUMP_VHOSTS -f /usr/local/etc/apache22/httpd.conf
genauer an.
--
pi at opsec.eu +49 171 3101372 6 years to go !
More information about the SAGE
mailing list