Vysvetleni nastaveni APACHE

[Jan Houstek]

On Thu, 17 Feb 2005, Milan Keršláger wrote:

> Dobre. Pak tedy http://httpd.apache.org/docs-2.0/ssl/ssl_faq.html#vhosts
> je uplne spatne.

Spatne to neni, ale nepocita ani s jednou z tech alternativ, ktere jsem
popsal (uvedeni server name v extended TLS HELO nebo existence vice jmen v
certifikatu).

> > Neciste je v kazdem pripade pouzivani Common Name pro svazani certifikatu
> > s DNS jmenem serveru, ale co je necisteho na vyse uvedenych standardech,
> > to bys mel asi trochu vysvetlit ...
>
> Otazkou tedy zbyva, zda to Apache vubec podporuje,

Ani jedno neni problem apache. To extended HELO zavisi predevsim na
knihovne a certifikat apache pouzije takovy, jaky mu dodam.

> jestli s tim nebudou mit problem bezni klienti a v pripade, ze existuje
> rozumne reseni,

Nezkousel jsem uplne vsechny myslitelne klienty, ale minimalne ty
nejbeznejsi s tim problem nemaji (vcetne IE).

> tak by me zajimalo, jestli me s tim nevyhodi CA.

To nevim, ale dNSName uz cas od casu v nejakych certifikatech vidam, takze
zjevne existuji CA, ktere to tak delaji.

> I pokud by neexistoval znamy problem s temi nekolika hacky, pak bude
> stejne jednodussi pridelit kazdemu SSL Webu jinou IP adresu, ne?

Pokud jsou ty adresy k dispozici, tak asi jo, ale i plain HTTP
virtualhosty je jednodussi delat IP-based, takze to tvrzeni nelze
povazovat za prilis padny argument.

Rozhodne je neprakticke davat do jednoho certifikatu vice jmen, ktera
nemaji mnoho spolecneho (kvuli problemum s vydavanim a taky proto, ze
kvuli kazdemu novemu jmenu by se musel vydat cely novy certifikat pro
vsecha jmena). Ovsem na reseni postavenem na extenzich z RFC 3546 nevidim
zadnou vadu.

-- Honza Houstek