SSL a VirtualHosts

Tibor Pittich Tibor.Pittich na phuture.sk
Úterý Prosinec 31 16:45:14 CET 2002 

Dňa 31. dec 2002 o 13:10, Dan Ohnesorg napísal(a):

> Dne Mon, Dec 30, 2002 at 02:28:49PM +0100, Tibor Pittich napsal:
> > Dňa 30. dec 2002 o 14:27, Tomas Valousek napísal(a):
> > 
> > > > certifikat vystaveny pre *.domena.sk je uplne korektny a takyto
> > > > certifikat podpise aj certifikacna autorita (samozrejme za vyssi
> > > > poplatok ako certifikat pre konkretne meno).
> > > 
> > > Takze jako CN muzu zadat *.aa.bb.cz?
> > 
> > a_n_o :)

> Nelze ale zapominat na to, ze zalezi na libovuli prohlizece, zda to prijme.
> Podle me nejsou * certifikaty prilis standardni.

to, ze som napisal, ze takyto certifikat bola ochotna podpisat najmenej
jedna "root" autorita (Verisign) myslim celkom vysvetluje "standardnost"
* certifikatov. o tom, ako to maju implementovane prehliadace nebola
diskusia. aj tak, mosaic (bez urazky) asi nebudu pouzivat pouzivatelia daneho
systemu..

> Rozhodne oteviraji dost bezpecnostnich problemu. Je to OK treba tam kde
> sifrujete tak nejak mimochodem, abyste ochranil nejake heslo, ale neni to OK
> tam, kde je potreba zajistit autenticitu druhe strany.

skusme si este raz precitat co bolo na zaciatku diskusie:

Dňa 30. dec 2002 o 14:21, Tomas Valousek napísal(a):
> Jedna se o informacni system, ktery bezi na jednom stroji. IS vyuziva vice
> firem, proto jsem "vymyslel", ze kazda firma bude mit adresu
> https://nazevfirmy.is.domena.cz
> Cilem tedy je abych nemusel pro kazdou novou firmu vystavovat zvlast
> certifikat a zvlast delat zaznam do konfigurace Apache (a nasledne ho
> restartovat/reloadovat).

.. takze vsetky domeny, ktore ma tento system obhospodarovat, bezia na
jednom stroji. zaujimalo by ma teda, preco spolocnym certifikatom nie
je mozne zabezpecit doveryhodnost druhej strany, ak sa nepouzije dany
certifikat pre viacero roznych fyzickych systemov?

tym sa samozrejme nechcem zastavat tohto riesenia obecne, ale ked je ho
mozne pouzit a v tu uvedenej situacii by mal opodstatnie, navyse tazatel
dva krat vyslovne ziadal prave taketo riesenie, preco mu ho neodobrit??

okrem toho, dolezitost a _bezpodmienecnu_ existenciu "IP based virtual
host"-ov pri pokuse implementovat protokol https nam uz sposobom jemu
vlastnym vysvetlil "kolega" Janousek.

-- 
Linux 2.4.20-2mdk 
Mandrake Linux release 9.1 (Cooker) for i586 
16:29:32 up 23:54, 8 users, load average: 0.07, 0.06, 0.01 
------------- další část ---------------
A non-text attachment was scrubbed...
Name: [žádný popis není k dispozici]
Type: application/pgp-signature
Size: 189 bytes
Desc: [žádný popis není k dispozici]
URL: <http://www.linux.cz/pipermail/linux/attachments/20021231/a7506d94/attachment.sig>

Další informace o konferenci Linux