[sage] vhost ohne TLS bei SNI

Stefan Neufeind neufeind at guug.de
Wed Feb 12 12:54:38 CET 2014


On 02/12/2014 12:15 PM, Joerg Dorchain wrote:
> On Wed, Feb 12, 2014 at 11:43:06AM +0100, Dirk Wetter wrote:
>>>> gibt immer eins der Zertifikate von 2 oder 1. Eigentlich hätte
>>>> ich erwartet, dass SNI auch das verhindert.
>>>
>>> Hätte ich auch erwartet. Erhältst du vielleicht immer das Cert des
>>> ersten vhosts, wie auch der Standard-vhost bei http? 
>>
>> einen default habe ich nicht definiert, aber tatsächlich erhalte ich
>> immer das Cert des ersten vhosts (1 in diesem Beispiel).
> 
> IIRC ist das default (wenn kein hostname matched, nimmt apache
> den ersten)
> 
> Definier halt explizit was, wenn wenn es nur eine redirection
> ist.

Hi,

Problem dürfte das dort dann benötigte Zertifikat mit Wildcard für das
ganze Internet sein um beim User keine Warnings anzuzeigen.
Aber um das dann von einer CA signiert zu bekommen könnte man ja
vielleicht auch mal ein Crowdfunding aufsetzen *hrhr* um das "kaputte"
System von Vertrauen gegenüber CAs mal zu einem Abschluß zu bringen.

Disclaimer: Achtung, es handelt sich um einen Scherz!


Grüße,
 Stefan



More information about the SAGE mailing list