apache + wildcard certificat

Dan Lukes dan at obluda.cz
Wed Dec 3 18:42:08 CET 2008


Jan Dusatko napsal/wrote, On 12/03/08 17:32:
> Kdyz uz je o tom rec.

Je otazka, jestli tohle je misto, kde by o tom mela byt rec. Ja zatim 
tazateli odpovidal mimo konferenci.


> Je vubec mozne vytvorit nejaky certifikat jinak nez pro danou IP adresu

To je nejake zmatene. Zacnu tim, ze obecne neexistuje zpusob, jak 
zjistit, ze ten, kdo se certifikatem prezentuje je tim, kdo ho 
prezentovat skutecne smi. Pokud neco takoveho chceme, pak si to musi 
nejak vyresit aplikace.

Zakladni princip HTTP je - v CN je jmeno serveru. Nikoliv IP.A takove 
jmeno muze byt v certifikatu pouze jedno. Certifikaty V3 umoznoji vlozit 
do certifikatu dalsi "aliasy", ale to je zavisle na tom, aby aplikace 
byla ochotna takovy udaj pouzit - a aby ho pouzila zpusobem, ktery 
vystavitel certifikatu ocekava.

Dokonce ani u CN neni tohle dostatecne standardizovane (napriklad 
neexistuje zadna vseobecne prijmuta definice wildcardu, tim mene toho, 
jak ma byt vyhodnocovan "match").

> Bohuzel je porad problem s podporou TLS v prohlizecich, Apache na SSL vice certifikatu nepodporuje.

To vypada jako by mohl, kdyby chtel. Ale na SSL to mozne proste neni. 
Informace o tom, ktery z virtualnich serveru je "osloven" se predava az 
uvnitr HTTP requestu. Jenze ten uz se predava pres navazane SSL spojeni 
- a k jeho navazani server jiz musi pouzit nejaky certifikat. Nema jak 
vedet jaky, protoze potrebna informace nemuze dorazit driv.

Pro TLS existuje pokus pridat rozsireni, ktere uz pri navazovani umozni 
TLS klientovi rict s jakym TLS serverem si preje navazat spojeni, coz by 
umoznilo serveru vybrat si spravny certifikat, ale to je dodatecne 
rozsireni protokolu - ani TLS klient ani TLS server nemusi byt schopen 
tuto feature pouzit.

> Honza

Jo. A v reakci celej puvodni dopis prilepeny dole ...

					Dan



P.S. Jen uplne blba komercni CA by nekomu vydala certifikat, ktery mu 
umozni dalsi podepisovani a tim ji v jejim bussinesu nahradit. A kdyz to 
udela, tak cena takoveho certifikatu bude velmi odlisna od ceny 
certifikatu "bezneho".



More information about the Users-l mailing list