Ana bilgisayar başlığına dayalı SSL sertifikası seçimi: mümkün mü?

17

Bir web sunucusunun, gelen bağlantının ana bilgisayar başlığına bağlı olarak kullanılacak bir SSL sertifikası seçmesi mümkün müdür veya bu bilgiler yalnızca SSL bağlantısı kurulduktan sonra kullanılabilir mi?

Bu benim webserver 443 numaralı bağlantı noktasında listelenir ve eğer foo.com sertifikayı kullanabilirsiniz olduğu https://foo.com talep edilir ve eğer bar.com belgesi https://bar.com istenir ya da ben yapmaya çalışıyorum sunucu istemcinin ne istediğini bilmeden önce SSL bağlantısı kurmak zorunda olduğu için imkansız bir şey mi?

— DrStalker
kaynak

23

Tarihsel olarak, ilk ifadeniz doğrudur. Şimdi, birden fazla seçenek var:

Aynı etki alanındaki alt alanlarsa joker sertifika.
Sertifika için alternatif adlar belirtmek üzere SAN / UCC sertifikası, böylece birden çok sertifika sunabilmek.
Ana bilgisayar üstbilgisinden sonra SSL bağlantısını kurmak için SNI tanıtıldı. Bununla birlikte, daha yeni olduğu için bunun sınırlı bir desteği vardır.

Bu, ServerFault üzerinde kendim ve diğerleri tarafından defalarca cevaplandı. Belirli bir sorunuz olmadığı sürece daha fazla ayrıntı aramanızı öneririm.

— Warner
kaynak

4

Aramaya gittim ve hiçbir şey bulamadım; bu, muhtemelen yanıtı biliyorsanız, arama terimlerine dahil edebilmeniz için araması kolay olan şeylerden biridir. Teşekkürler.

— DrStalker

3

ServerFault üzerinde mevcut cevaplar varsa, bunlara bağlantı vermek güzel olurdu.

— organicveggie

serverfault.com/search , @organicveggie.

— Warner

3

SNI, Ana Bilgisayar üstbilgisinden sonra SSL bağlantısı kurmaz, ancak ana bilgisayar adını SSL el sıkışmasına ekler. SSL geliştiricisi değilseniz önemli değil.

— Bart van Heukelom

Serverfault araması bunu cevap olarak verir. Bu, kanonik olarak başka soruların bu sorunun kopyaları olduğu anlamına gelir. Yani bağlantı sen dahil hiçbir sonuç vardır.

— Ian Boyd

5

Warner'ın cevabını genişletmek için: CAcert'in Vhost Task Force sayfası , tek bir sunucuda birden fazla etki alanı kullanmak için çeşitli yöntemleri karşılaştırır. Şahsen Sunucu Adı Göstergesi kullanıyorum .

— user1686
kaynak

Windows XP kullanıcıları, Android kullanıcıları, Blackberry kullanıcıları vb. İle nasıl başa çıkıyorsunuz?

— thomasrutter

3

Kısa cevap: hayır

HTTP SSL içinde kapsüllenmiştir , bu nedenle bağlantı kurulana kadar istekle ilgili bilgilere erişilemez. Böylece müşteriye bir sertifika verilinceye kadar. Üstbilgileri veya diğer şifrelenmiş bilgileri kullanmanın bir yolu yoktur, çünkü bunlar hala kullanılamaz.

DÜZENLEME: Bu, günümüzde çapraz tarayıcı ve tamamen taşınabilir olmasını istiyorsanız doğrudur . Başkaları tarafından söylendiği gibi, yakın gelecekte bunu mümkün kılan bazı yeni ortaya çıkan yöntemler vardır.

— drAlberT
kaynak

1

veya bu bilgiler yalnızca SSL bağlantısı kurulduktan sonra kullanılabilir mi?

Doğru. SSL bağlantısı, HTTP isteğinin (ana bilgisayar başlığı dahil) herhangi bir bölümü gönderilmeden önce kurulur.

— Richard
kaynak

2

Bu artık tam olarak doğru değil.

— Warner