virtualni weby + ssl

Filip Jirsák jirsak na gymnacel.cz
Středa Únor 21 11:17:37 CET 2001 

Principialni duvody jsou tyto:
name-based virtual host je postaven na tom, ze klient posila jako
soucast pozadavku hlavicku "Host: www.virtualni-domena.com" a
podle toho server pozna, co klient chce. A SSL sifrovani probiha
nad timto, tj. nejprve se klient+server dohodnou na sifrovani (a tam
zadna
informace o tom, ktery server klient chce neexistuje) a teprve v
zasifrovanem kanalu se posilaji ty HTTP hlavicky. Teoreticky by to
tedy
slo, pokud by pro vsechny virtualni domeny existoval stejny certifikat,
coz zrejme mozne neni, protoze jmeno domeny je soucasti
certifikatu (rekl
bych). (Nekdo tu psal o wildcards certifikatech - nevim, co to je, ale
ty
by to zrejme umoznovaly. Ale pak takovy certifikat moc nema smysl,
ne?)
Ale nabizi se vcelku snadne reseni: nepredpokladam, ze mate
uzivatele webu
tak vycvicene, ze rovnou jdou na https://neco/. Spis predpokladam,
ze se
tam dostanou nejakym odkazem. Muzete tedy pouzivat normalni
virtualni
servery pres http jako zaklad, a z nich se odkazovat na na
https://bezpecny_server.cz/virtualni_domena/. Filip Jirsak

> On 19 Feb 01, at 15:21, thus spake Roman Fiala:
>
> > Jeste si dovolim poznamku:
> > Docela mne Apache zklamal, z na pohled resitelne veci je
razem
> > problem. U Woken (W2000) to jde a tady ne? Je tu nekdo, kdo
by sem
> > napsal, jestli se do budoucna pocita s podporou SSL i u name-
based
> > virtual hostu? Roman
> >
> Fakt to u woken jde? Ja jsem si v mod_ssl FAQ (lze dohledat na
> http://www.modssl.org/) precetl, ze to nejde z principielnich
duvodu.
> Pise se tam, ze SSL je nizsi vrstva, do ktere se bali HTTP.
Napred se
> navaze SSL spojeni a server se s klientem dohaduje o
parametrech. Ty si
> precte z konfigurace. Konfigurace je roztridena podle jmen virt.
> serveru. Jmeno pozadovaneho virtualniho serveru je v HTTP
hlavicce, a ta
> dosud nebyla rozsifrovana, protoze dosud nebyly dohodnuty
parametry SSL
> spojeni.
>
> Doufam, ze jsem svym volnym prekladem nevnesl fakticke chyby.
>
>
>
>           Pavel Kraus
>             CAA CR
>          kraus na caa.cz

--
Filip Jirsák
e-mail: Jirsak na gymnacel.cz
e-mail: Filip.Jirsak na email.cz
ICQ: 12801030

Další informace o konferenci Linux