[Wien] Ist Funkfeuer davon betroffen?

Matthias Šubik (spam-protected)
Fr Okt 29 20:56:47 CEST 2010


Ich will mal zweimal widersprechen ....
On 28.10.2010, at 14:37, Ralf Schlatterbeck wrote:

> On Thu, Oct 28, 2010 at 01:38:40PM +0200, Gregor G. wrote:
>> Am 28.10.10 10:51, schrieb Ralf Schlatterbeck:
>>> Und das ist für Facebook (und Twitter) nicht ganz einfach zu fixen,
>>> weil SSL auf die IP-Adresse geht und nicht auf die Domain.

nö. Ich verwende SSL Zertifikate mit mehreren vhosts,
und will bald die SNI Erweiterung testen:

http://wiki.cacert.org/VhostTaskForce
> 
...
> 
> http://en.wikipedia.org/wiki/Transport_Layer_Security
> 
> "From the application protocol point of view, TLS belongs to a lower
> layer, although the TCP/IP model is too coarse to show it. This means
> that the TLS handshake is usually (except in the STARTTLS case)
> performed before the application protocol can start. The name-based
> virtual server feature being provided by the application layer, all
> co-hosted virtual servers share the same certificate because the server
> has to select and send a certificate immediately after the ClientHello
> message. This is a big problem in hosting environments because it means
> either sharing the same certificate among all customers or using a
> different IP address for each of them."

NEIN. mod_gnutls und Du kannst je ein Zertifikat laden,
weil HTTP1.1-Vhost->STARTTLS->Zertifikatsaustausch->UpgradeVerbindung
> 
> Aber Du hast vermutlich recht, dass das im Fall *einer* Domain und
> *vielen* IPs kein Problem ist.

Wenn man ein Wildcard-Zertifikat hat, kann ich *.domain mit einem Zertifikat abwickeln. Viele IPs pro Host sind auch kein Problem. Sind sie ja ohne SSL auch nicht problematisch (auf dem Verbindungs-Layer). Warum sollten sie es jetzt werden? 

Ich glaube ich sollte DRINGEND meinen SSL Vortrag von 2006 wiederholen.
Hier noch ein paar Zeilen zu lesen für die die es schon vorher wissen wollen:
http://www.outoforder.cc/projects/apache/mod_gnutls/

Hier ein Beispiel:
http://www.outoforder.cc/projects/apache/mod_gnutls/docs/

Und der von einigen so geliebte Firefox kann auch http+TLS statt https (SSL).

beste Grüße
Matthias
ps: im Übrigen bin ich auch der Meinung das Zwiebelverschlüsselung gut ist. Allerdings muss ich Bernd recht geben, es solle nicht "Verschlüsselung" genannt werden, sondern nur Verbindungsfehlerkontrolle oder Verbindungssicherung.





Mehr Informationen über die Mailingliste Wien