:strip_icc():strip_exif()/u/46676/audi_v6.jpg?f=community)
Na wat zoekwerk op internet en GoT ben ik al verschillende howto's en vragen omtrent het self-signen van SSL certificaten en het configureren van apache. Over het onderstaande kom ik echter niet zoveel (eigenlijk nog niks) tegen. Ik ben benieuwd naar jullie meningen.
Het is inmiddels bekend dat het met een virtual hosting server met maar één extern ip-adres niet mogelijk is om meerdere domeinen (virtual hosts) van SSL te voorzien. Dit kan maar met één host per ip-adres, omdat de routering op basis van virtual hosts afhankelijk is van host-informatie in de HTTP header. En het eerste HTTP pakketje komt pas over de lijn op het moment dat de SSL verbinding is opgezet (dat is namelijk de gedachte achter encryptie). Kortom, de server kan niet weten welke (domein-afhankelijk) certificaat hij moet gebruiken om de verbinding op te zetten.
Dit laatste statement zou ik graag eens ter discussie willen stellen. Wanneer ik tshark (commandline versie van wireshark) gebruik om https verkeer te monitoren valt het me opnamelijk op dat het derde frame (Handshake Protocol: Client Hello) altijd in plain text de hostnaam bevat van het domein waarmee je op dat moment een ssl verbinding gaat opzetten. Dit frame gaat van de client (degene die een SSL verbinding wil opzetten) naar de server (degene met meerdere certificaten). En dan laat ik me zonder verder onderzoek te verrichten even verleiden tot het doen van de volgende uitspraak: Als het inderdaad altijd zo is dat de hostname tijdens de SSL handshake plain text wordt vernoemd in het bericht, dan moet het ook mogelijk zijn om op basis hiervan het juiste certificaat te selecteren.
En dan meteen maar even kritisch naar mezelf toe. Ik twijfel aan deze uitspraak omdat ik me dan afvraag hoe alle vervolgpakketten gerouteerd gaan worden? Routering gebeurd namelijk op laag 3 van OSI en SSL zit op laag 6. Is dit dan ook meteen de reden dat het niet zal gaan werken, of is daar een andere reden voor.
Verder vraag ik me af of een SSL offloader hier uitkomst kan bieden. Bij mijn weten kan een SSL offloader ook geen SSL routeren. Hij kan alleen SSL sessies opzetten en dan door-routeren op basis van hostname in HTTP header. Het door routeren gebeurd dan eventueel weer over een nieuwe SSL verbinding. Toch?
Kan dit dan toch echt alleen wanneer elk domein een eigen ip OF poortnummer heeft?
Het is inmiddels bekend dat het met een virtual hosting server met maar één extern ip-adres niet mogelijk is om meerdere domeinen (virtual hosts) van SSL te voorzien. Dit kan maar met één host per ip-adres, omdat de routering op basis van virtual hosts afhankelijk is van host-informatie in de HTTP header. En het eerste HTTP pakketje komt pas over de lijn op het moment dat de SSL verbinding is opgezet (dat is namelijk de gedachte achter encryptie). Kortom, de server kan niet weten welke (domein-afhankelijk) certificaat hij moet gebruiken om de verbinding op te zetten.
Dit laatste statement zou ik graag eens ter discussie willen stellen. Wanneer ik tshark (commandline versie van wireshark) gebruik om https verkeer te monitoren valt het me opnamelijk op dat het derde frame (Handshake Protocol: Client Hello) altijd in plain text de hostnaam bevat van het domein waarmee je op dat moment een ssl verbinding gaat opzetten. Dit frame gaat van de client (degene die een SSL verbinding wil opzetten) naar de server (degene met meerdere certificaten). En dan laat ik me zonder verder onderzoek te verrichten even verleiden tot het doen van de volgende uitspraak: Als het inderdaad altijd zo is dat de hostname tijdens de SSL handshake plain text wordt vernoemd in het bericht, dan moet het ook mogelijk zijn om op basis hiervan het juiste certificaat te selecteren.
En dan meteen maar even kritisch naar mezelf toe. Ik twijfel aan deze uitspraak omdat ik me dan afvraag hoe alle vervolgpakketten gerouteerd gaan worden? Routering gebeurd namelijk op laag 3 van OSI en SSL zit op laag 6. Is dit dan ook meteen de reden dat het niet zal gaan werken, of is daar een andere reden voor.
Verder vraag ik me af of een SSL offloader hier uitkomst kan bieden. Bij mijn weten kan een SSL offloader ook geen SSL routeren. Hij kan alleen SSL sessies opzetten en dan door-routeren op basis van hostname in HTTP header. Het door routeren gebeurd dan eventueel weer over een nieuwe SSL verbinding. Toch?
Kan dit dan toch echt alleen wanneer elk domein een eigen ip OF poortnummer heeft?
:strip_exif()/u/2087/osiris_ani.gif?f=community)
En wat dat in vredesnaam met de Host-HTTP-header te maken heeft 
:strip_exif()/u/11874/clownsmall.gif?f=community)
Op deze manier vervalt de afhankelijkheid van de HTTP host header. En aan de reactie van PipoDeClown te zien kan dat inderdaad op meerdere manieren.