Автор Тема: SSL Reverse Proxy с Apache  (Прочетена 1782 пъти)

sstefanov

  • Напреднали
  • *****
  • Публикации: 158
    • Профил
SSL Reverse Proxy с Apache
« -: Sep 01, 2011, 20:32 »
Някой успял ли е да пусне въпросното  Reverse Proxy с Apache да работи с SSL с имена на домейни, а не с поддиректории?
С http работи без проблем, но като пусна https винаги редиректва към първия SSL сървър, описан в конфигурационните файлове.
Доколкото разбрах, проблемът е принципен, защото по време на установяване на SSL сесията името на домейна още не е известно и затова проксито дава първия срещнат в конфигурацията.
Има ли начин това да се преодолее?
Активен

gat3way

  • Напреднали
  • *****
  • Публикации: 6050
  • Relentless troll
    • Профил
    • WWW
Re: SSL Reverse Proxy с Apache
« Отговор #1 -: Sep 01, 2011, 22:26 »
Това е проблем по принцип. Примерно е забавно да подкараш няколко vhost-а с отделни сертификати на един и същ порт. "Разпознаването" на виртуалния хост става на база на Host: полето в заявката, обаче за да се стигне дотам трябва да се установи SSL сесия и сървърът няма как да знае с кой сертификат да го направи. Има едно разширение на TLS протокола, според което ако след установяване на сесията и получаване на заявката, това от Host: полето не е вярно, следва SSL renegotiation и представяне на "правилния" сертификат. Когато беше започнало да става по-масово излезе една уязвимост, която позволяваше донякъде MitM атака като лошият нарочно можеше да хване част от трафика в cleartext, renegotiate-вайки SSL сесията. Поради тази причина масово почнаха да забраняват renegotiation-a. Не съм особено в течение с продължението на тази история, но честно казано ме съмнява mod_proxy да подържа въпросното разширение.
Активен

"Knowledge is power" - France is Bacon

sstefanov

  • Напреднали
  • *****
  • Публикации: 158
    • Профил
Re: SSL Reverse Proxy с Apache
« Отговор #2 -: Sep 01, 2011, 23:39 »
Аз имам валиден wildcart сертификат, който е инсталиран на проксито и сертификата засега не е проблем.
Проблем е разпознаването на името на сървъра и редиректването му към правилния сървър.
Имам една идея, но не намирам нищо подобно на нея в Интернет, което показва че вероятно е много глупава и затова ще се въздържа да я споделя.
Активен

plamen_f

  • Напреднали
  • *****
  • Публикации: 1246
    • Профил
Re: SSL Reverse Proxy с Apache
« Отговор #3 -: Sep 02, 2011, 08:45 »
Принципно несподелянето на идеи не ги прави по-умни. Приеми, че всеки от нас може да измисли или реализра глупост и ти не си изключение.
Тук има достатаъчно вещи хора по проблематиката на темата - сподели си идеята - дори да е глупава може да стане и умна.

 [_]3
Активен

triel

  • Напреднали
  • *****
  • Публикации: 36
    • Профил
Re: SSL Reverse Proxy с Apache
« Отговор #4 -: Sep 02, 2011, 09:57 »
Само да добавя към мнението на gat3way, че въпросното разширение на протокола се нарича SNI (Server Name Indication) и повече информация за него може да се открие тук: http://en.wikipedia.org/wiki/Server_Name_Indication
Активен

sstefanov

  • Напреднали
  • *****
  • Публикации: 158
    • Профил
Re: SSL Reverse Proxy с Apache
« Отговор #5 -: Sep 26, 2011, 20:22 »
Идеята е проксито първо да препраща https заявката към себе си, но вече по http. Така втория път ще знае домейна и по http ще може да препрати заявката на правилния сървър.
Активен

Подобни теми
Заглавие Започната от Отговора Прегледи Последна публикация
reverse ssh
Настройка на програми
Agent_SMITH 11 3359 Последна публикация Dec 29, 2005, 17:33
от poisoner
Настройка на Reverse DNS zone
Настройка на програми
dunamis 5 2061 Последна публикация Mar 22, 2005, 10:29
от dunamis
DNS Reverse Zone
Настройка на програми
DarkBoss 2 1423 Последна публикация Aug 15, 2005, 11:36
от n_antonov
reverse proxy
Настройка на програми
dvanaise 1 1264 Последна публикация Feb 13, 2011, 02:13
от gat3way
vhosts на nginx при proxy reverse
Настройка на програми
bILLY 1 960 Последна публикация Aug 22, 2016, 22:03
от pennywise