|
Титла: SSL Reverse Proxy с Apache Публикувано от: sstefanov в Sep 01, 2011, 20:32 Някой успял ли е да пусне въпросното Reverse Proxy с Apache да работи с SSL с имена на домейни, а не с поддиректории?
С http работи без проблем, но като пусна https винаги редиректва към първия SSL сървър, описан в конфигурационните файлове. Доколкото разбрах, проблемът е принципен, защото по време на установяване на SSL сесията името на домейна още не е известно и затова проксито дава първия срещнат в конфигурацията. Има ли начин това да се преодолее? Титла: Re: SSL Reverse Proxy с Apache Публикувано от: gat3way в Sep 01, 2011, 22:26 Това е проблем по принцип. Примерно е забавно да подкараш няколко vhost-а с отделни сертификати на един и същ порт. "Разпознаването" на виртуалния хост става на база на Host: полето в заявката, обаче за да се стигне дотам трябва да се установи SSL сесия и сървърът няма как да знае с кой сертификат да го направи. Има едно разширение на TLS протокола, според което ако след установяване на сесията и получаване на заявката, това от Host: полето не е вярно, следва SSL renegotiation и представяне на "правилния" сертификат. Когато беше започнало да става по-масово излезе една уязвимост, която позволяваше донякъде MitM атака като лошият нарочно можеше да хване част от трафика в cleartext, renegotiate-вайки SSL сесията. Поради тази причина масово почнаха да забраняват renegotiation-a. Не съм особено в течение с продължението на тази история, но честно казано ме съмнява mod_proxy да подържа въпросното разширение.
Титла: Re: SSL Reverse Proxy с Apache Публикувано от: sstefanov в Sep 01, 2011, 23:39 Аз имам валиден wildcart сертификат, който е инсталиран на проксито и сертификата засега не е проблем.
Проблем е разпознаването на името на сървъра и редиректването му към правилния сървър. Имам една идея, но не намирам нищо подобно на нея в Интернет, което показва че вероятно е много глупава и затова ще се въздържа да я споделя. Титла: Re: SSL Reverse Proxy с Apache Публикувано от: plamen_f в Sep 02, 2011, 08:45 Принципно несподелянето на идеи не ги прави по-умни. Приеми, че всеки от нас може да измисли или реализра глупост и ти не си изключение.
Тук има достатаъчно вещи хора по проблематиката на темата - сподели си идеята - дори да е глупава може да стане и умна. [_]3 Титла: Re: SSL Reverse Proxy с Apache Публикувано от: triel в Sep 02, 2011, 09:57 Само да добавя към мнението на gat3way, че въпросното разширение на протокола се нарича SNI (Server Name Indication) и повече информация за него може да се открие тук: http://en.wikipedia.org/wiki/Server_Name_Indication ($2)
Титла: Re: SSL Reverse Proxy с Apache Публикувано от: sstefanov в Sep 26, 2011, 20:22 Идеята е проксито първо да препраща https заявката към себе си, но вече по http. Така втория път ще знае домейна и по http ще може да препрати заявката на правилния сървър.
|