Изпечатай

[sstefanov]

Някой успял ли е да пусне въпросното  Reverse Proxy с Apache да работи с SSL с имена на домейни, а не с поддиректории?
С http работи без проблем, но като пусна https винаги редиректва към първия SSL сървър, описан в конфигурационните файлове.
Доколкото разбрах, проблемът е принципен, защото по време на установяване на SSL сесията името на домейна още не е известно и затова проксито дава първия срещнат в конфигурацията.
Има ли начин това да се преодолее?

[gat3way]

Това е проблем по принцип. Примерно е забавно да подкараш няколко vhost-а с отделни сертификати на един и същ порт. "Разпознаването" на виртуалния хост става на база на Host: полето в заявката, обаче за да се стигне дотам трябва да се установи SSL сесия и сървърът няма как да знае с кой сертификат да го направи. Има едно разширение на TLS протокола, според което ако след установяване на сесията и получаване на заявката, това от Host: полето не е вярно, следва SSL renegotiation и представяне на "правилния" сертификат. Когато беше започнало да става по-масово излезе една уязвимост, която позволяваше донякъде MitM атака като лошият нарочно можеше да хване част от трафика в cleartext, renegotiate-вайки SSL сесията. Поради тази причина масово почнаха да забраняват renegotiation-a. Не съм особено в течение с продължението на тази история, но честно казано ме съмнява mod_proxy да подържа въпросното разширение.

[sstefanov]

Аз имам валиден wildcart сертификат, който е инсталиран на проксито и сертификата засега не е проблем.
Проблем е разпознаването на името на сървъра и редиректването му към правилния сървър.
Имам една идея, но не намирам нищо подобно на нея в Интернет, което показва че вероятно е много глупава и затова ще се въздържа да я споделя.

[plamen_f]

Принципно несподелянето на идеи не ги прави по-умни. Приеми, че всеки от нас може да измисли или реализра глупост и ти не си изключение.
Тук има достатаъчно вещи хора по проблематиката на темата - сподели си идеята - дори да е глупава може да стане и умна.

 

[triel]

Само да добавя към мнението на gat3way, че въпросното разширение на протокола се нарича SNI (Server Name Indication) и повече информация за него може да се открие тук: http://en.wikipedia.org/wiki/Server_Name_Indication

[sstefanov]

Идеята е проксито първо да препраща https заявката към себе си, но вече по http. Така втория път ще знае домейна и по http ще може да препрати заявката на правилния сървър.