Onderwerp: Apache22, name based virtual hosting: FF onderscheidt verschillendecert, IE niet

Hallo,

Als hier nog iemand bestaat, kan hij/zij de tanden zetten in
onderstaande waarneming.

Ik heb op mijn Freebsd server de apache22 server geconfigureerd met 4
verschillende name based virtual hosts, dus 1 IP-adres, en onderscheid
op basis van de domain-name.

Alle virtual hostst lezen op de https-poort, en ze hebben hun eigen
certificaat gekregen. Hiertoe heb ik name de hostname de SSL key/
certificaatfiles opgegeven en de SSLEngine On geplaatst.

Het aardige is nu, dat Firefox 3.5 op Ubuntu de verschillende
certificaten ook daadwerkelijk onderscheidt. De enige waarschuwing van
Firefox bij het benaderen van deze sites is dan ook dat de
certificaten self signed zijn, en dat klopt.

Internet Explorer daarentegen beweert voortdurend hetzelfde
certificaat tegen te komen, en meldt dus dat de naam van server-
certificaat niet overeenkomt met de URL, én dat het ook nog eens self
signed is.


Ik vind het frappant dat de firefox client kennelijk wél de juiste
certificaten weet te ontfutselen aan de server, en IE 8 op Vista SP1,
IE 6 op XP SP2 niet.

Kent iemand dit gedrag, is het te verklaren, en kunnen we IE ook zo
gek krijgen?

NB. Volgens allerlei pubolicaties op Internet zou het niet kunnen,
verschillende certificaten met name based virtual hosting, maar met FF
3.5 lukt het dus.

--
Flibsy

Once upon a newsgroup, flibsy claimed:
> Ik heb op mijn Freebsd server de apache22 server geconfigureerd met 4
> verschillende name based virtual hosts, dus 1 IP-adres, en onderscheid
> op basis van de domain-name.
> Kent iemand dit gedrag, is het te verklaren, en kunnen we IE ook zo
> gek krijgen?

Ja, Apache gebruikt hiervoor een speciale TLS extensie, de 'server name
indication' (SNI). Deze feature is vrij nieuw en wordt slechts door
enkele browsers ondersteund.

Een alternatief is om 4 verschillende hostnames op 1 certificaat in te
stellen (met de zgn. 'subject alt-name' extensie): die feature wordt ook
niet door alle browsers ondersteund, maar werkt in elk geval wel voor
moderne MSIE browsers.

Als je iets wilt dat wel met alle browsers werkt, en dus ook MSIE, zul
je toch echt 4 verschillende IP adressen (of 4 verschillende
poortnummers) moeten instellen.


Ciao,
Johan
--
Why do we always come here - I guess we'll never know.
It's like a kind of torture to have to watch the show.

Johan van Selst <{n.i.w.s-s.}@news.gletsjer.org> wrote:
> Once upon a newsgroup, flibsy claimed:
> > Ik heb op mijn Freebsd server de apache22 server geconfigureerd met
> > 4
> > verschillende name based virtual hosts, dus 1 IP-adres, en
> > onderscheid
> > op basis van de domain-name.
> > Kent iemand dit gedrag, is het te verklaren, en kunnen we IE ook zo
> > gek krijgen?
>
> Ja, Apache gebruikt hiervoor een speciale TLS extensie, de 'server
> name
> indication' (SNI). Deze feature is vrij nieuw en wordt slechts door
> enkele browsers ondersteund.

Hee, da's goed nieuws. Daarover is e.e.Ã*. Te vinden. Ik las wel dat IE7
op Vista het zou ondersteunen, dus je zou verwachten dat IE8 op Vista
dat ook zou doen.
>
> Een alternatief is om 4 verschillende hostnames op 1 certificaat in te
> stellen (met de zgn. 'subject alt-name' extensie): die feature wordt
> ook
> niet door alle browsers ondersteund, maar werkt in elk geval wel voor
> moderne MSIE browsers.

Die zal ik dan ook maar gaan gebruiken; in de hoop dat beide technieken
elkaar niet in de weg zitten.

>
> Als je iets wilt dat wel met alle browsers werkt, en dus ook MSIE, zul
> je toch echt 4 verschillende IP adressen (of 4 verschillende
> poortnummers) moeten instellen.

Mwa, ik denk dat ik het er wel mee kan doen voorlopig. Ik hoop dat
Safari er ook mee overweg kan.

Bedankt voor je snelle en terzake kundige reactie, dit heb ik niet met
Google-en kunnen vinden.

--
Flibsy

Flibsy <flibsy@nltaal.nl> wrote:
> Johan van Selst <{n.i.w.s-

[.,]

> > Ja, Apache gebruikt hiervoor een speciale TLS extensie, de 'server
> > name
> > indication' (SNI). Deze feature is vrij nieuw en wordt slechts door
> > enkele browsers ondersteund.
>
> Hee, da's goed nieuws. Daarover is e.e.Ã*. Te vinden. Ik las wel dat
> IE7
> op Vista het zou ondersteunen, dus je zou verwachten dat IE8 op Vista
> dat ook zou doen.

Doet-ie ook. Ik had bij een eerder probleem zitten rommelen met de
instellingen terzake. Toen ik ze had gereset naar oorspronkelijk deed
IE8 het wel goed. SSLv2 moest kennelijk worden uitgeschakeld, dat is-ie
op de server ook.
> >
> > [..]

--
Flibsy