FAQ: Re: apache + mod_ssl + vice virtualhostu

Pavel Janík Pavel na Janik.cz
Sobota Srpen 18 18:28:32 CEST 2001 

   From: pizi na jinak.cz (Petr Klimovic)
   Date: Sat, 18 Aug 2001 12:03:02 CET

Zdravím,

   >  PR> neco takoveho jsem tusil. A neco jineho, nez mod_ssl pro Apache, 
   >  PR> co by
   >  PR> toto zvladalo neexistuje? Co ApacheSsl, nebo uplne jiny web 
   >  PR> server?
   > 
   > Vas dotaz se tu opakuje pravidelne nekolikrat mesicne. Rphlednete si 
   > archiv.
   > HTTPS funguje tak, ze klient posle na danou ip adresu zadost o 
   > certifikat, dohodnou si sifrovani a teprve pak se posle vubec prvni 
   > pozadavek o soubor. Jenomze teprve pri pozadavku o soubor rika klient z 
   > jakeho virtualniho webu to chce. Do te doby server nevi o jaky virtual 
   > se jedna. A jelikoz to nevi nemuze poslat certifikat jineho virtualu. 
   > Takze pro jedu IP adresu lze uzit pouze jeden certifikat. Mozna to lze 
   > rozlisit jeste podle portu.

přesně tak - tento dotaz se zde opakuje několikrát měsíčně - přeložil jsem
tedy část z FAQ k mod_ssl (http://www.modssl.org/). Prosím Zdeňka
o zařazení do FAQ.

Q: Proč nemůžu použít SSL na virtuálních webových serverech?

A: Důvod je velmi technický. Ve skutečnosti je to podobný problém jako se
   slepicí a vejcem. Vrstva protokolu SSL je umístěna pod vrstvou protokolu
   HTTP a je vlastně jeho obálkou. Když je vytvořeno SSL spojení (HTTPS),
   Apache resp. mod_ssl musí se vzdálenou stranou (klientem) vyjednat
   parametry SSL spojení (musí zjistit typ použitého šifrování, certifikát
   serveru apod.). Apache naproti tomu nemůže bez HTTP hlavičky Host
   delegovat dotaz na správný webový server. To je možné pouze po načtení
   této hlavičky od klienta. Tento proces ale nemůže být nastartován
   předtím, než je dokončeno vyjednávání parametrů SSL spojení. Ale tato
   informace je nutná již při samotném vyjednávání. Tedy to není
   principiálně možné. Bingo. Je to možné vyřešit použitím IP-based
   virtuálního serveru nebo pomocí jiné instance Apache/mod_ssl na jiném
   portu.

-- 
Pavel Janík

Wow, you are crazy like hell. Of course it fixed the problem ;)
                  -- Hubert Mantel in private e-mail

Další informace o konferenci Linux