Re: Problémy s Apache

[Jan Houstek]

On Mon, 17 Mar 2008, Tomáš Koželuh wrote:
> Takže http a https teď funguje opravdu správně, ale zase mně to špatně 
> rozlišuje stránky. Http zobrazí správnou stránku (domena.dve), https 
> zobrazí špatnou (domena.jedna, i když zadám domena.dve). Začínám mít 
> obavy, že rozdělení webu podle IP adres nebudou s tímto Apachem fungovat 
> nikdy správně...

Problém téměř jistě není v Apache, ale v konfiguraci (tedy v tom, kdo ji 
napsal), nebo v tom, že se snažíte nakonfigurovat něco, co principielně 
není možné.

Takže ještě jednou -- s klasickým HTTPS (nepočítám SNI extension TLS, viz 
níže) nelze mít na stejném IP a portu různé name-based virtualhosty s 
různým certifikátem. Pokud toto zkoušíte, nebo to omylem v konfiguraci 
máte (např. se vám plete nějaký defaultní virtualhost z distribučního 
konfiguráku s vašimi), tak se nedivte, že se "to chová divně".

Naopak s mod_ssl celkem bez problémů fungují klasické name-based 
virtualhosty, mají-li nastaven stejný klíč a certifikát, v podstatě se nic 
neliší od téhož na čistém HTTP.

Teď jde o to, co myslíte tím "https zobrazí špatnou doménu". Pokud se 
načte obsah jiného virtualhostu, máte blbě konfiguraci. Pokud ji celou 
(nebo aspoň všechny relevantní části) zašlete, máte slušnou šanci, že se i 
dozvíte, co máte blbě. Pokud jen klient hlásí chybu, že mu nesedí Host: v 
HTTP se Subjectem certifikátu, není to problém Apache, ale toho, že v tom 
certifikátu nemáte všechna jména.

-- HH


P.S. Do budoucna tohle asi vyřeší "server name indication" extension TLS 
(RFC 3546). Zdá se, že už to umí mod_gnutls, mod_ssl zatím ne (čeká se na 
openssl 0.9.9), a překvapivě i novější verze nejběžnějších browserů 
(dokonce včetně IE). Nemáte to už někdo v praxi vyzkoušené?