Nastaveni apache2 (2.4) pro jednu domenu [Re: apache2 s vice http://domenami (bez ssl) a jednou https://domenou (s ssl)]

Pavel Kankovsky peak na argo.troja.mff.cuni.cz
Sobota Červen 20 11:08:46 CEST 2015


On Fri, 19 Jun 2015, Zdenek Janis wrote:

> V predchozich mailech jsem "stahnul zpet" svuj pozadavek o presmerovani 
> a uplne mi stacilo aby apache vratil chybu, tak jako kdyz neni 
> nakonfigurovana zadna domena s certifikatem.

V tom případě by možná by i pro HTTPS šlo použít řešení s "odpadním 
virtuálem". Vyrobíte další <VirtualHost> pro port 443, který bude na 
prvním místě, a nastavíte v něm CipherSuite pouze a právě na anonymní DH 
(ADH).

Ale pokud to vůbec bude to fungovat, tak jen klientům používajícím SNI: 
klient, který nepošle jméno, které by ho postrčilo do jiného virtuálu, 
spadne do toho prvního. A tam to většinou okamžitě skončí na handshake 
failure, protože ADH nebude pro klienta přijatelné. A pokud by náhodou 
přijatelné bylo, tak handshake proběhne bez toho, že by server musel 
předložit certifikát a klient ho ověřoval (v takovém případě by se měla 
klientovi vrátit stránka oznamující, že je debil).

-- 
Pavel Kankovsky aka Peak                      "Que sais-je?"


Další informace o konferenci Linux