Lựa chọn chứng chỉ SSL dựa trên tiêu đề máy chủ: có khả thi không?


17

Có thể cho máy chủ web chọn chứng chỉ SSL để sử dụng dựa trên tiêu đề máy chủ của kết nối đến hoặc thông tin đó chỉ khả dụng sau khi kết nối SSL được thiết lập?

Đó là, máy chủ web của tôi có thể được liệt kê trên cổng 443 và sử dụng chứng chỉ foo.com nếu https://foo.com được yêu cầu và chứng chỉ bar.com nếu https://bar.com được yêu cầu hay tôi đang cố gắng làm một cái gì đó không thể bởi vì máy chủ phải thiết lập kết nối SSL trước khi nó biết khách hàng muốn gì?

Câu trả lời:


23

Trong lịch sử, tuyên bố đầu tiên của bạn là chính xác. Bây giờ, có nhiều tùy chọn:

  • Chứng chỉ ký tự đại diện nếu tên miền phụ trong cùng một tên miền.
  • Chứng chỉ SAN / UCC để chỉ định tên thay thế cho chứng chỉ, do đó có thể phục vụ nhiều chứng chỉ.
  • SNI được giới thiệu để thiết lập kết nối SSL sau tiêu đề Máy chủ. Điều này có hỗ trợ hạn chế, tuy nhiên, vì nó mới hơn.

Điều này đã được tôi và những người khác trả lời nhiều lần trên ServerFault. Tôi khuyên bạn nên tìm kiếm thêm chi tiết trừ khi bạn có một câu hỏi cụ thể.


4
Tôi đã đi tìm kiếm và không thể tìm thấy bất cứ điều gì; đây có lẽ là một trong những điều chỉ dễ tìm kiếm nếu bạn biết câu trả lời để bạn có thể đưa nó vào cụm từ tìm kiếm. Cảm ơn.
DrStalker

3
Nếu có câu trả lời hiện có trên ServerFault, thật tốt khi liên kết với chúng.
Organicveggie

serverfault.com/search , @ Wasteveggie.
Warner

3
SNI không thiết lập kết nối SSL sau tiêu đề Máy chủ, nhưng bao gồm tên máy chủ trong bắt tay SSL. Không thành vấn đề nếu bạn không phải là nhà phát triển SSL.
Bart van Heukelom

Tìm kiếm Serverfault cho điều này là câu trả lời. Điều đó có nghĩa là bất kỳ câu hỏi nào khác là trùng lặp với câu hỏi này. Liên kết đó bạn bao gồm không có kết quả.
Ian Boyd


3

Câu trả lời ngắn: không

HTTP được gói gọn trong SSL , vì vậy mọi thông tin về yêu cầu đều không thể truy cập được cho đến khi kết nối được thiết lập. Do đó cho đến khi một chứng chỉ đã được trao cho khách hàng. Không có cách nào để sử dụng các tiêu đề cũng như bất kỳ thông tin được mã hóa nào khác, vì chúng vẫn không có sẵn.

EDIT: điều này đúng nếu bạn muốn ngày nay là trình duyệt chéo và hoàn toàn di động. Như đã nói bởi những người khác, có một số phương pháp mới đang nổi lên trong tương lai gần.


1

hoặc thông tin đó chỉ khả dụng sau khi kết nối SSL được thiết lập?

Chính xác. Kết nối SSL được thiết lập trước khi bất kỳ phần nào của yêu cầu HTTP (bao gồm tiêu đề máy chủ) được gửi.


2
Điều đó không còn hoàn toàn chính xác.
Warner
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.