https na virtualech nad jednou IP
Miroslav Renda
renda at hermes.hosting.cz
Wed May 16 17:01:46 CEST 2001
Diky moc za dosavadni tipy, zamyslene pouziti je:
Hostingovy server, kde je pomerne dost klientu a databazi a k nim
vytvorenych webovych admin rozhrani. chtel bych klientum nabidnout
moznost "bezpecne" administrovat tyto sve databaze (produktu...)
Proto bych chtel aby se predevsim to heslo posilalo sifrovane. Nechtel
jsem pouzivat nestand. porty (kvuli proxy u klientu) a nechtel jsem kvuli
tomu
plytvat IP.
MR
"Dan Lukes" <dan at gw.nic.cz> píše v diskusním příspěvku
news:200105151805.f4FI5eW39303 at ns.felk.cvut.cz...
> Jan Satko wrote:
>
> > > jde rozbehnout na jedné IP vice virtualu, ktere by vyuzivaly HTTPS (na
> > > stand. portu 443)? jsou tam nejake bezpecnostni problemy s podobnou
> > > konfiguraci?
> >
> > Ano aj nie.
> > Ano v tom zmysle ze to bude sifrovane a nie v tom zmysle, ze Vam to vzdy
> > bude hucat ze nesedi nazov servera, pre ktory bol vydany certifikat.
> > 1 IP = 1 certifikat. Cize aj ked date dva certifikaty, vrstva SSL
pouzije
> > vzdy iba jeden a ten isty.
>
> A jeste by se to dalo rict jinak. Vrstva SSL skutecne pouzije jen jeden
> certifikat proto, ze nevi, ktereho ze serveru se chcete zeptat (a ktery
> tedy ma pouzit), komunikace skutecne bude probihat sifrovane, ale to,
> jestli vse pujde hladce zavisi na pouzitem browseru - presneji receno na
> tom, jak on vyhodnoti prisusnost daneho certifikatu k danemu stroji. To
> neni presne definovano a tak, pokud svuj webhosting dedikujete pouze pro
> uzivatele Netscape a weby budou na domenach treti urovne a nechate si
> nekym vystavit certifikat pro www.*.xxx.cz pak to co potrebujete
> fungovat bude (Nescape umi wildcardove certifikaty).
>
> Takze pan Satko ma naprostou pravdu - fungovat vam to bude i nebude,
> podle toho, co presne potrebujete udelat. Predpokladam ale, ze to spis
> potrebujete na veci, pro ktere to nepujde.
>
> Nicmene i kdyby to slo (tento problem MA reseni v ramci HTTP/1.1
> protokolu, zatim jej ale neumi v praxi pouzit ani servery ani browsery)
> stejne by bylo otazkou co presne potrebujete - vidim spoustu moznosti na
> co prave tuto konfiguraci potrebujete, pro vetsinu z nich ale bude
> umisteni vice secure serveru fyzicky na jeden stroj prinaset pomerne
> vazne a dost tezko resitelne bezpecnostni problemy.
>
> Dan
>
>
> --
> Dan Lukes tel: +420 2 21914205, fax: +420 2 21914206
> root of FIONet, KolejNET, webmaster of info.nic.cz, www.freebsd.cz
> AKA: dan at nic.cz, dan at obluda.cz, dan at freebsd.cz, dan at kolej.mff.cuni.cz
>
More information about the net
mailing list