PDA

Bekijk Volledige Versie : Browser ssl cert error afvangen in apache... kan dat?



systemdeveloper
22/12/11, 16:14
Voor toegang tot belangrijkere systemen gebruik ik voor het webbased deel onder andere https en browsercertificaten. (uiteraard ook firewalls en nog wel iets, maar veiligheid is het probleem niet).

SSLVerifyClient staat op 'require' en verifydepth op 1.
Nu werkt dit eigenlijk gewoon goed, maar als je de benodigde browsercertificaten niet hebt dan krijg je totaal niks te zien of een vieze ssl melding browser.

In dat geval wil ik graag een redirect doen naar een gewone http:// informatieve site.

Iemand een idee of dat mogelijk is op een nice manier (truukje met ssl opties of zo)?

Triloxigen
23/12/11, 18:12
Nee, dat kan niet omdat eerst de ssl controle verificatie gebeurd voordat je iets kunt versturen naar de client

systemdeveloper
23/12/11, 20:15
True, maar daarom dat ik een 'omweg' zocht.

Als ik bijvoorbeeld sslclientverify op 'optional' zet (en een paar opties zodat php de ssl data 'ziet') dan kan ik redelijk eenvoudig een encrypte verbinding hanteren op basis van het server ssl cert, terwijl ik aan de serverkant kan controleren of er een client cert is meegegeven en op basis daarvan redirecten of niet.

Maar dan sla ik wel een 'gat' in de beveiliging, dus de client zal het maar met een dirty servererror moeten doen, vrees ik.

maxnet
23/12/11, 20:47
Als ik bijvoorbeeld sslclientverify op 'optional' zet (en een paar opties zodat php de ssl data 'ziet') dan kan ik redelijk eenvoudig een encrypte verbinding hanteren op basis van het server ssl cert, terwijl ik aan de serverkant kan controleren of er een client cert is meegegeven en op basis daarvan redirecten of niet.

Maar dan sla ik wel een 'gat' in de beveiliging,


Het gaat er dus puur om dat het redirecten in Apache zelf gebeurt, en niet in PHP?
Probeer dan eens iets in de trend van:



SslVerifyClient optional

RewriteEngine on
RewriteCond %{SSL:SSL_CLIENT_VERIFY} !=SUCCESS
RewriteRule .* http://www.de-info-site.nl/ [R,L]


(niet getest)

systemdeveloper
23/12/11, 20:54
Probeer dan eens iets in de trend van:

Weet je... dat ik gewoon niet 1 keer eraan gedacht heb om de SSL opties in de .htaccess al te checken....

Goed van jou!

Yourwebhoster
24/12/11, 12:06
Het gaat er dus puur om dat het redirecten in Apache zelf gebeurt, en niet in PHP?
Probeer dan eens iets in de trend van:



SslVerifyClient optional

RewriteEngine on
RewriteCond %{SSL:SSL_CLIENT_VERIFY} !=SUCCESS
RewriteRule .* http://www.de-info-site.nl/ [R,L]


(niet getest)
Die werkt enkel als je de melding al geaccepteerd hebt. Je kan niet een vieze melding voorkomen helaas.

maxnet
24/12/11, 12:55
Die werkt enkel als je de melding al geaccepteerd hebt. Je kan niet een vieze melding voorkomen helaas.

Welke melding krijg je dan?
Heeft deze wel betrekking op client certificates (die de bezoeker moeten identificeren, niet de server)?

Yourwebhoster
24/12/11, 12:57
Welke melding krijg je dan?
Heeft deze wel betrekking op client certificates (die de bezoeker moeten identificeren, niet de server)?
Ach dat ik daar over heen kijk, ben lekker bezig (not).