Apache a VH pro SSL -- delsi
Jan Houstek
Jan.Houstek na mff.cuni.cz
Pátek Květen 27 09:18:45 CEST 2005
Ing. Pavel PaJaSoft Janoušek wrote:
[...]
> nebo musím do
> certifikátu vyjmenovat patřičná hostname - a certifikát je nerozšiřitelný,
Žádný certifikát není rozšiřitelný, tj. nedají se do něj ex post dodávat
informace. Když budu mít ty SSL virtualhosty udělané tak, že bude možné
použít pro každé jméno jiný certifikát, tak přidání nového jména znamená
vygenerování jednoho nového certifikátu. Když budu mít společný
certifikát, tak přidání nového jména znamená vygenerování nového
certifikátu rozšířeného o toto jméno. Tedy srovnatelné množství práce.
Faktem je, že to není příliš škálovatelné, ale typicky se tím taky řeší
situace, kdy má certifikát obsahovat několik málo jmen, né stovky.
> při změně počtu hostname v něm, bych musel vygenerovat nový - navíc o této
> možnosti se bavím čistě teoreticky, myslím si, že takový certifikát (s
> multi-hostname záznamem) ani vygenerovat nejde, alespoň běžnými prostředky.
V tom případě openssl není běžný prostředek.
> Poslední možnost je tzv. wildcard certifikát, kdy požaduji hostname ve tvaru
> *.<domain>.<TDL> apod. - a to je přesně případ, na který jsem narážel.
Asi není uplně rozumné používat v nepřiměřené míře wildcardy, ale pokud
to bude jméno typu *.example.com. zavedené takto do certifikátu z
důvodu, aby fungovalo https://example.com, https://www.example.com a
třeba ještě https://paja.example.com, stále nevidím problém. Tedy za
předpokladu, že uvnitř domény nepanují nepřátelské vztahy a správce
jednoho serveru nebude využívat tento certifikát k MITM na jiný server.
> PS: A pokud je můj postoj špatný, klidně stačí - Pájo seš vůl a celý je to
> úplně jinak ty paranoiku...:-)
Pájo seš vůl a celý je to úplně jinak ty inženýre...:-)
-- Honza Houštěk
Další informace o konferenci Linux