https na virtualech nad jednou IP

[Dan Lukes]

Jan Satko wrote:
 
> > jde rozbehnout na jedné IP vice virtualu, ktere by vyuzivaly HTTPS (na
> > stand. portu 443)? jsou tam nejake bezpecnostni problemy s podobnou
> > konfiguraci?
> 
> Ano aj nie.
> Ano v tom zmysle ze to bude sifrovane a nie v tom zmysle, ze Vam to vzdy
> bude hucat ze nesedi nazov servera, pre ktory bol vydany certifikat.
> 1 IP = 1 certifikat. Cize aj ked date dva certifikaty, vrstva SSL pouzije
> vzdy iba jeden a ten isty.

	A jeste by se to dalo rict jinak. Vrstva SSL skutecne pouzije jen jeden
certifikat proto, ze nevi, ktereho ze serveru se chcete zeptat (a ktery
tedy ma pouzit), komunikace skutecne bude probihat sifrovane, ale to,
jestli vse pujde hladce zavisi na pouzitem browseru - presneji receno na
tom, jak on vyhodnoti prisusnost daneho certifikatu k danemu stroji. To
neni presne definovano a tak, pokud svuj webhosting dedikujete pouze pro
uzivatele Netscape a weby budou na domenach treti urovne a nechate si
nekym vystavit certifikat pro www.*.xxx.cz pak to co potrebujete
fungovat bude (Nescape umi wildcardove certifikaty).

	Takze pan Satko ma naprostou pravdu - fungovat vam to bude i nebude,
podle toho, co presne potrebujete udelat. Predpokladam ale, ze to spis
potrebujete na veci, pro ktere to nepujde. 

	Nicmene i kdyby to slo (tento problem MA reseni v ramci HTTP/1.1
protokolu, zatim jej ale neumi v praxi pouzit ani servery ani browsery)
stejne by bylo otazkou co presne potrebujete - vidim spoustu moznosti na
co prave tuto konfiguraci potrebujete, pro vetsinu z nich ale bude
umisteni vice secure serveru fyzicky na jeden stroj prinaset pomerne
vazne a dost tezko resitelne bezpecnostni problemy.

				Dan	


-- 
Dan Lukes            tel: +420 2 21914205, fax: +420 2 21914206
root of FIONet, KolejNET, webmaster of info.nic.cz, www.freebsd.cz
AKA: dan at nic.cz, dan at obluda.cz, dan at freebsd.cz, dan at kolej.mff.cuni.cz