virtualni weby + ssl

[David Rohleder]

jirsak na gymnacel.cz (Filip Jirsak) writes:

> Principialni duvody jsou tyto:
> name-based virtual host je postaven na tom, ze klient posila jako
> soucast pozadavku hlavicku "Host: www.virtualni-domena.com" a
> podle toho server pozna, co klient chce. A SSL sifrovani probiha
> nad timto, tj. nejprve se klient+server dohodnou na sifrovani (a tam
> zadna
> informace o tom, ktery server klient chce neexistuje) a teprve v
> zasifrovanem kanalu se posilaji ty HTTP hlavicky. Teoreticky by to
> tedy
> slo, pokud by pro vsechny virtualni domeny existoval stejny certifikat,
> coz zrejme mozne neni, protoze jmeno domeny je soucasti
> certifikatu (rekl
> bych).

jmeno serveru je obsazeno v polozce cn a musi se shodovat se jmenem,
ktere napisete do okna prohlizece (nebo odkliknete odkaz).

> (Nekdo tu psal o wildcards certifikatech - nevim, co to je, ale
> ty
> by to zrejme umoznovaly. Ale pak takovy certifikat moc nema smysl,
> ne?)
> Ale nabizi se vcelku snadne reseni: nepredpokladam, ze mate
> uzivatele webu
> tak vycvicene, ze rovnou jdou na https://neco/. Spis predpokladam,
> ze se
> tam dostanou nejakym odkazem. Muzete tedy pouzivat normalni
> virtualni
> servery pres http jako zaklad, a z nich se odkazovat na na
> https://bezpecny_server.cz/virtualni_domena/. Filip Jirsak

Tak to nejde, protoze o ktery server se jedna je nutne rozlisit jiz na
urovni TCP, ale je mozne pouzit
https://www.virtualni-domena.cz:cisloportu/
v tomto pripade uz server samozrejme pozna, se kterym certifikatem se
ma vytasit :-)


-- 
-------------------------------------------------------------------------
David Rohleder						davro na ics.muni.cz
Institute of Computer Science, Masaryk University
Brno, Czech Republic
-------------------------------------------------------------------------