sslug-teknik team mailing list archive

Thread
Date

Re: url based sikkerhed - ssl

To: sslug-teknik@xxxxxxxx
From: Peter Makholm <peter@xxxxxxxxxxx>
Date: Thu, 19 Nov 2009 08:15:50 +0100
Cancel-lock: sha1:J8yNMv1WfdPRcN4FSU2gPDzD5VQ=
Delivered-to: mailing list sslug-teknik@xxxxxxxx
Mailing-list: contact sslug-teknik-help@xxxxxxxx; run by ezmlm
Newsgroups: sslug.teknik
Organization: SSLUG
User-agent: Gnus/5.110006 (No Gnus v0.6) Emacs/21.4 (gnu/linux)
Xyzzy: Nothing happens!

"Jesper K. Pedersen" <linux@xxxxxxxxx> writes:

> SSL foregår på transmissions delen - dvs. før webserveren behandler den.
> Apache kan kun bruge forskellige certifikater ved hjælp af forskellige
> porte / ip adresser. Ikke engang på namebased virtuel host kan du bruge
> forskellige certifikater.

Jo man kan, i nogle browsere og med mod_gnutls eller et patchet mod_ssl.

Det kræver understøttelse for Server Name Indication (SNI, RFC3546
afstni 3.1), hvilket mod_gnutls understøtter direkte, men sidst jeg
tjekkede krævede et patch hvis man bruger OpenSSL da det har nogle
subtile ændringer i opsætningen.

På browsersiden kræver det vist Vista eller bedre (herunder Firefox på
Linux). 

Så man kan godt bruge SSL med namebased virtual hosts, hvis man kender
sin målgruppe godt nok tilat vide at de bruger godt nok software. (Men
hverken mod_ssl eller mod_gnutls er vist helt velegnet til *masse*
hosting af virtual hosting)

(Med DNSSEC får vi andre meget sjovere muligheder, med det kræver vist
endnu mere bleeding edge sotware)

//Makholm

References

url based sikkerhed - ssl
From: Carsten Jantzen, 2009-11-18
Re: url based sikkerhed - ssl
From: Jesper K. Pedersen, 2009-11-18