คำถามติดแท็ก sni

Server Name Indication (SNI) เป็นส่วนขยายของ Transport Layer Security ซึ่งอนุญาตให้มีการโฮสต์เว็บไซต์ที่ปลอดภัยหลายแห่งพร้อมใบรับรองแยกกันที่ที่อยู่ IP เดียวกัน

5
มีโดเมน SSL หลายโดเมนในที่อยู่ IP เดียวกันและพอร์ตเดียวกัน
นี่เป็นคำถามที่ยอมรับได้เกี่ยวกับการโฮสต์เว็บไซต์ SSL หลายเว็บไซต์ใน IP เดียวกัน ฉันอยู่ภายใต้การแสดงผลว่าใบรับรอง SSL แต่ละรายการจำเป็นต้องมีที่อยู่ IP / พอร์ตเฉพาะของตัวเอง แต่คำตอบของคำถามก่อนหน้านี้ที่ฉันโพสต์นั้นขัดแย้งกับการอ้างสิทธิ์นี้ การใช้ข้อมูลจากคำถามนั้นทำให้ฉันสามารถรับใบรับรอง SSL หลายใบเพื่อทำงานบนที่อยู่ IP เดียวกันและที่พอร์ต 443 ฉันสับสนอย่างมากว่าทำไมงานนี้ถึงได้รับข้อสันนิษฐานข้างต้น เซิร์ฟเวอร์เดียวกันต้องการ IP / พอร์ตของตัวเอง ฉันสงสัยว่าฉันทำอะไรผิด วิธีนี้สามารถใช้ใบรับรอง SSL หลายใบได้หรือไม่?

3
ฉันจะตรวจสอบได้อย่างไรว่าเซิร์ฟเวอร์ใช้ SNI สำหรับ HTTPS หรือไม่
ฉันกำลังมองหาวิธีง่ายๆในการทราบว่าเซิร์ฟเวอร์ใช้ส่วนขยายชื่อเซิร์ฟเวอร์สิ่งบ่งชี้ SSL สำหรับใบรับรอง HTTPS บนเว็บไซต์หรือไม่ วิธีการที่ใช้ทั้งเบราว์เซอร์หรือบรรทัดคำสั่ง Unix นั้นใช้ได้ ขอบคุณ!
41 ssl  https  sni 

2
การตั้งค่าไซต์ SSL เริ่มต้นบน IIS8
ฉันมีการตั้งค่าบางเว็บไซต์ใน IIS8 ทั้งหมดโดยใช้ใบรับรองไวด์การ์ด SSL เดียวกัน เว็บไซต์บางแห่งจำเป็นต้องเข้าถึงเบราว์เซอร์และระบบปฏิบัติการที่เก่ากว่าดังนั้นฉันจึงไม่สามารถใช้ตัวเลือก "ต้องการชื่อเซิร์ฟเวอร์ได้" เนื่องจากอุปกรณ์ทั้งหมดไม่รองรับ SNI IIS จึงแสดงการแจ้งเตือนต่อไปนี้: "ไม่มีการสร้างไซต์ SSL เริ่มต้นเพื่อสนับสนุนเบราว์เซอร์ที่ไม่มีความสามารถ SNI ขอแนะนำให้สร้างไซต์ SSL เริ่มต้น" ฉันจะสร้างไซต์ SSL เริ่มต้นได้อย่างไร บทความที่ใกล้เคียงที่สุดที่ฉันพบคือไม่ชัดเจนมากและฉันมีความรู้สึกว่าจะต้องมีวิธีการแก้ปัญหาได้ง่ายขึ้น รายละเอียดเซิร์ฟเวอร์: Windows Server 2012, IIS8, ที่อยู่ IP ภายนอกหนึ่งแห่ง
25 ssl  sni  iis-8 

4
ใบรับรอง SAN และ SNI SSL แตกต่างกันอย่างไร
ใครช่วยอธิบายความแตกต่างระหว่างใบรับรองเหล่านี้ให้ฉันได้อย่างง่ายดาย? ฉันอ่านบทความบางฉบับ แต่ดูเหมือนว่าพวกเขาทำงานเดียวกันนั่นคือการเข้ารหัสหลายโดเมนด้วยใบรับรองเดียว

3
“ เซิร์ฟเวอร์ควรทราบ SSL แต่ไม่มีใบรับรองกำหนดค่า [คำแนะนำ: SSLCertificateFile]”
หลังจากอัพเกรด Apache2 ไปเป็นเวอร์ชั่น 2.2.31 เมื่อเร็ว ๆ นี้ฉันพบพฤติกรรมแปลก ๆ ในการตั้งค่า SSL VirtualHost บางเว็บไซต์ที่ฉันโฮสต์กำลังแสดงใบรับรองสำหรับโฮสต์เริ่มต้นแม้ว่าลูกค้าจะรับServer Name Identificationรู้และสิ่งนี้เกิดขึ้นกับพวกเขาเพียงไม่กี่คน สิ่งนี้แสดงให้เห็นว่าเป็นคำเตือนหนังสือเดินทางของ Firefox / Chrome ทั่วไปเกี่ยวกับคุณที่อาจถูกหลอกลวงหากคุณกำลังค้นหาธนาคารบ้านของคุณ แต่นั่นไม่ใช่กรณี เพื่อความชัดเจนหากเซิร์ฟเวอร์host.hostingdomain.orgมี SSL ของตัวเองพยายามเข้าถึงhttps://www.hostedsite.orgใบรับรองรายงานhost.hostingdomain.orgแต่มีเพียงไม่กี่คนที่https://www.hostedsite.meรายงานใบรับรองที่ถูกต้อง ไซต์ทั้งหมดโฮสต์บนที่อยู่ IP เดียวกันบนพอร์ต 443 ความจริงก็คือ VirtualHosting ทำงานบนฝั่ง HTTP และเปลี่ยนเส้นทางไคลเอนต์ที่ทราบ SNI ไปยัง SSL โดยอัตโนมัติดังนั้นจึงเข้ากันได้กับไคลเอ็นต์ SNI ที่ไม่รู้จัก การตรวจสอบบันทึกข้อผิดพลาดสำหรับการละเมิด VirtualHosts แสดงข้อความต่อไปนี้ [Tue Dec 25 16:02:45 2012] [error] Server should be …

6
เปลี่ยนเส้นทางไปยัง SSL เฉพาะเมื่อเบราว์เซอร์รองรับ SNI
ฉันมี Apache 2.2 พร้อม mod_ssl และไซต์จำนวนมากใน HTTPS บน IP / พอร์ตเดียวกันกับ VirtualHosting ดังนั้นไคลเอ็นต์ต้องสนับสนุน SNI เพื่อเชื่อมต่อกับโฮสต์เสมือนเหล่านั้น ฉันต้องการกำหนดค่าเซิร์ฟเวอร์ของฉันด้วยวิธีต่อไปนี้: เมื่อผู้ใช้พิมพ์ www.dummysite.com และเบราว์เซอร์ของเขารองรับ SNI (การระบุชื่อเซิร์ฟเวอร์) คำขอ HTTP ใด ๆ จะถูกเปลี่ยนเส้นทางไปยังhttps://ที่ซึ่งมีการส่งส่วนหัว HSTS แต่ถ้าเบราว์เซอร์ไม่รองรับ SNI ดังนั้นคำขอจะถูกให้บริการโดย HTTP กฎดังกล่าวข้างต้นตามที่เป็นจริงเป็นกฎทางเลือกสำหรับคนที่ยังคงใช้เบราว์เซอร์เก่าเนื่องจาก Mozilla และ Chrome ไม่มีปัญหานี้เพียงเพื่อหลีกเลี่ยงการปล่อยให้ผู้ใช้เหล่านี้ออกจากเว็บไซต์ ฉันต้องการเปลี่ยนเส้นทางนี้ในระดับการกำหนดค่า Apache อาจมีตัวกรองในตัวแทนผู้ใช้ ฉันไม่ต้องการสัมผัสแอปพลิเคชั่นที่ทำงานอยู่ยกเว้นว่าจะไม่มีการอ้างอิง http: // โดยตรง (ไม่เช่นนั้นจะมีคำเตือนด้านความปลอดภัย) [แก้ไข] (ในขณะที่การแก้ไขคำถามที่ฉันลืมคำถาม): สิ่งที่เป็นรายชื่อของตัวแทนผู้ใช้ SNI ที่เปิดใช้งานเพื่อเปลี่ยนเส้นทาง?

3
Reverse Proxy สามารถใช้ SNI กับ SSL pass through ได้หรือไม่
ฉันต้องให้บริการแอปพลิเคชันหลายรายการผ่าน https โดยใช้ที่อยู่ IP เดียว ใบรับรอง ssl ไม่ควรถูกจัดการบน reverse proxy มีการติดตั้งไว้ในแอพพลิเคชันเซิร์ฟเวอร์ reverse proxy สามารถกำหนดค่าให้ใช้ SNI และส่งผ่าน ssl ผ่านเพื่อยุติที่จุดปลายได้หรือไม่ เป็นไปได้โดยใช้บางอย่างเช่น Nginx หรือ Apache? การกำหนดค่ามีลักษณะอย่างไร

1
วิธีกำหนดใบรับรอง SSL ที่ nginx ส่งครั้งแรกด้วย SNI
ฉันใช้ nginx 1.2.7 กับ OpenSSL 0.9.8o บน Debian Squeeze ประมาณ 30 โดเมน ในสองพวกเขาฉันเปิดใช้งาน SSL ซึ่งทำงานได้ดีทั้ง SSL config ใช้สำหรับทั้งสองโดเมน: listen 443 ssl; ssl_certificate /etc/nginx/ssl/example.org-unified.crt; ssl_certificate_key /etc/nginx/ssl/example.org.key; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH; ssl_prefer_server_ciphers on; ssl_session_cache shared:SSL:10m; ssl_session_timeout 10m; add_header Strict-Transport-Security max-age=600000; การตรวจสอบทั้งสองโดเมนด้วยตัวตรวจสอบ ssllabs.com ฉันจะได้รับหนึ่งโดเมนการแจ้งเตือน "ไซต์นี้ใช้งานได้เฉพาะในเบราว์เซอร์ที่มีการสนับสนุน SNI" สำหรับโดเมนอื่นฉันไม่ได้รับข้อความนี้ ดูเหมือนว่า nginx โดยค่าเริ่มต้นจะส่งใบรับรองสำหรับโดเมนแรกตามลำดับตัวอักษรไปยังไคลเอนต์โดยไม่มีการสนับสนุน SNI …
12 nginx  ssl  sni 

3
ใบรับรอง SNI และไวด์การ์ดบนเซิร์ฟเวอร์เดียวกันกับ IIS
ฉันต้องการโฮสต์เว็บไซต์ที่ควรฟังโดเมนย่อย (เช่น sub.domain.com) พร้อมกับเว็บไซต์หลายเว็บไซต์ที่อยู่ภายใต้โดเมนระดับที่สอง (เช่น domain2.com, domain3.com) กับ IIS และ SSL สำหรับเว็บไซต์ที่มีโดเมนย่อยฉันมีใบรับรองตัวแทน (* .domain.com) และฉันยังมีใบรับรองเฉพาะสำหรับไซต์อื่น ๆ (domain2.com และ domain3.com) การตั้งค่าดังกล่าวสามารถโฮสต์บน IIS เดียวกันได้หรือไม่ (หากมีความสำคัญในบทบาทบนเว็บ Azure Cloud Service) ปัญหาคือสิ่งที่ titobf อธิบายไว้ที่นี่ : ในทางทฤษฎีสำหรับสิ่งนี้เราจำเป็นต้องทำการเชื่อมโยงโดยใช้ SNI โดยมีโฮสต์ที่ระบุสำหรับ domain2 / 3.com แล้วเว็บไซต์ catch-all ที่มี * host สำหรับ * .domain.com แต่ในทางปฏิบัติไม่ว่าจะมีการตั้งค่าการเชื่อมโยงอย่างไรหากเว็บไซต์ catch-all นั้นอยู่ในนั้นจะได้รับการร้องขอทั้งหมดไปยัง domain2 / 3.com …

2
ใช้ nginx กับ SNI
ตอนนี้ฉันยังไม่ได้ใช้ SNI กับ nginx เลย แต่เนื่องจากกลุ่มที่อยู่ IP ค่อนข้างเต็มและการสนับสนุน XP เชิงพาณิชย์กำลังจะหยุด (ในที่สุด) ฉันกำลังคิดที่จะแปลงบางไซต์เป็น SNI ฉันตระหนักถึงข้อ จำกัด และข้อผิดพลาดทั่วไปที่อาจมาพร้อมกับ SNI (ปัญหา XP, เบราว์เซอร์ที่เก่ามาก) แต่นอกเหนือจากนั้นมีอะไรที่ฉันควรระวัง? Like - ข้อผิดพลาดที่เกี่ยวข้องกับ nginx เมื่อใช้ SNI - ประเด็น / ข้อบกพร่องกับเบราว์เซอร์ (เด่น!) ล่าสุด
10 nginx  ssl  sni 

1
การใช้ SNI บน Windows Server 2012 R2 ไม่ทำงาน
ฉันพยายามทำให้ทั้งสองเว็บไซต์ทำงานด้วยใบรับรองแยกต่างหากใน Windows Server 2012 R2 สิ่งนี้เป็นไปไม่ได้หรือไม่? ในเว็บไซต์ที่เพิ่มล่าสุด www.c1get.net ฉันได้รับใบรับรองจากเว็บไซต์แรกและมีคำเตือนดังนั้น ปรับปรุง SSL Certificate bindings: ------------------------- IP:port : 0.0.0.0:443 Certificate Hash : fabae896e032f9ba08b389d8c9ecd33908fabe31 Application ID : {4dc3e181-e14b-4a21-b022-59fc669b0914} Certificate Store Name : My Verify Client Certificate Revocation : Enabled Verify Revocation Using Cached Client Certificate Only : Disabled Usage Check : Enabled Revocation …

2
SNI แสดงถึงความเป็นส่วนตัวของผู้เยี่ยมชมเว็บไซต์ของฉันหรือไม่?
ประการแรกฉันขอโทษสำหรับภาษาอังกฤษที่ไม่ดีของฉัน ฉันยังเรียนรู้อยู่ นี่มันไป: เมื่อฉันโฮสต์เว็บไซต์เดียวต่อที่อยู่ IP ฉันสามารถใช้ SSL "บริสุทธิ์" (ไม่มี SNI) และการแลกเปลี่ยนคีย์เกิดขึ้นก่อนที่ผู้ใช้จะบอกชื่อโฮสต์และเส้นทางที่เขาต้องการเรียกคืน หลังจากการแลกเปลี่ยนคีย์ข้อมูลทั้งหมดสามารถแลกเปลี่ยนได้อย่างปลอดภัย ที่กล่าวว่าหากใครก็ตามที่กำลังดมกลิ่นเครือข่ายจะไม่มีการรั่วไหลของข้อมูลที่เป็นความลับ * (ดูเชิงอรรถ) ในทางกลับกันถ้าฉันโฮสต์หลายเว็บไซต์ต่อที่อยู่ IP ฉันอาจจะใช้ SNI และดังนั้นผู้เยี่ยมชมเว็บไซต์ของฉันต้องบอกชื่อโฮสต์เป้าหมายก่อนที่ฉันจะสามารถให้ใบรับรองที่ถูกต้องแก่เขาได้ ในกรณีนี้ใครบางคนที่สูดดมเครือข่ายของเขาสามารถติดตามโดเมนเว็บไซต์ทั้งหมดที่เขากำลังเข้าถึงได้ มีข้อผิดพลาดใด ๆ ในสมมติฐานของฉันหรือไม่? มิเช่นนั้นจะไม่แสดงถึงความเป็นส่วนตัวของผู้ใช้ถ้าสมมติว่าผู้ใช้นั้นใช้ DNS ที่เข้ารหัสด้วยเช่นกัน เชิงอรรถ: ฉันยังตระหนักว่าดมกลิ่นสามารถทำการค้นหาแบบย้อนกลับบนที่อยู่ IP และค้นหาเว็บไซต์ที่มีการเยี่ยมชม แต่ชื่อโฮสต์ที่เดินทางผ่านข้อความผ่านสายเคเบิลเครือข่ายดูเหมือนจะทำให้โดเมนที่ใช้คำหลักบล็อกง่ายขึ้นสำหรับเจ้าหน้าที่การเซ็นเซอร์
10 ssl  https  privacy  sni 

2
ตัวโหลดบาลานซ์ฮาร์ดแวร์กำหนดเส้นทางทราฟฟิก SSL ด้วย SNI หรือไม่
ขณะนี้เรามีฟาร์มเซิร์ฟเวอร์ที่โฮสต์ 2 แอปพลิเคชัน - ทั้งสองแอปพลิเคชันทำงานบนเซิร์ฟเวอร์ทั้งหมด เราต้องการแยกสิ่งนี้เพื่อให้เรามีเซิร์ฟเวอร์ฟาร์มเฉพาะสำหรับแต่ละแอพ (เรามีเหตุผลที่ดีในเรื่องนี้) เราหวังว่าจะมี load-balancer เพียงตัวเดียวต่อหน้าเซิร์ฟเวอร์ทั้งหมดซึ่งจะกำหนดเส้นทางการรับส่งข้อมูลไปยังฟาร์มที่ถูกต้องตามชื่อโฮสต์ แต่เราต้องการบำรุงรักษา SSL ไปยังเว็บเซิร์ฟเวอร์ ดูเหมือนว่าเราเตอร์ที่เรากำลังเสนอไม่ได้ทำเช่นนี้ ฉันขอขอบคุณที่ไม่มี SNI สิ่งนี้เป็นไปไม่ได้ แต่เราคาดหวังว่าตัวบ่งชี้ SNI เกี่ยวกับการรับส่งข้อมูลทั้งหมดของเรา ตอนนี้ฉันเป็นโปรแกรมเมอร์ไม่ใช่คนเครือข่าย แต่เมื่อมีคำขอเชื่อมต่อ SSL ใหม่เข้ามาเราเตอร์จะไม่สามารถตรวจสอบส่วนหัว SNI และกำหนดเส้นทางไปยังฟาร์มที่ถูกต้องได้ ฉันสมมติว่าการเชื่อมต่อ SSL ขาเข้าถูกระบุโดย {source IP: source port} ดังนั้นจึงไม่สามารถจดจำสิ่งนี้ได้สำหรับแพ็กเก็ตขาเข้าที่ตามมา (หาก SNI แสดงเฉพาะในแพ็กเก็ตแรก) เท่าที่ฉันสามารถบอกได้ Haproxy ทำเช่นนี้ แต่ดูเหมือนว่าตัวโหลดฮาร์ดแวร์ไม่ได้ทำ มีเหตุผลสำหรับสิ่งนี้หรือสิ่งที่เราควรผลักดันหรือไม่ (สำหรับผู้พิทักษ์คนสุดท้ายที่ใช้ IE บน XP ที่ไม่ได้รวม SNI เราต้องการส่งปริมาณข้อมูลไปยังฟาร์มเก่าและเราจัดการพร็อกซี่ไปยังฟาร์มใหม่เมื่อจำเป็น)

2
ทำไม apache httpd บอกฉันว่า virtualhosts ที่ใช้ชื่อของฉันทำงานได้เฉพาะกับเบราว์เซอร์ที่เปิดใช้งาน SNI (RFC 4366)
ทำไมอาปาเช่จึงให้ข้อความแสดงข้อผิดพลาดนี้ในบันทึกของฉัน มันเป็นบวกที่ผิดพลาดหรือไม่? [warn] Init: Name-based SSL virtual hosts only work for clients with TLS server name indication support (RFC 4366) ฉันเพิ่งอัพเกรดจาก Centos 5.7 เป็น 6.3 และเป็นรุ่น httpd ที่ใหม่กว่า ฉันได้ทำ ssl virtualhost configuration ไว้ด้านล่างเสมอ ที่โดเมนทั้งหมดที่ใช้ใบรับรองเดียวกัน (ส่วนใหญ่ / เสมอสัญลักษณ์ตัวแทน) แบ่งปัน IP เดียวกัน แต่ไม่เคยได้รับข้อความแสดงข้อผิดพลาดนี้มาก่อน (หรือมีฉันบางทีฉันอาจไม่ได้ดูเพียงพอในบันทึกของฉัน?) จากสิ่งที่ฉันได้เรียนรู้สิ่งนี้ควรทำงานโดยไม่ต้อง SNI (บ่งชี้ชื่อเซิร์ฟเวอร์) นี่คือส่วนที่เกี่ยวข้องของไฟล์ httpd.conf ของฉัน หากไม่มี VirtualHost …
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.