Тема: SSL Reverse Proxy с Apache (Прочетена 5526 пъти)

sstefanov · « -: Sep 01, 2011, 20:32 »

Някой успял ли е да пусне въпросното Reverse Proxy с Apache да работи с SSL с имена на домейни, а не с поддиректории?
С http работи без проблем, но като пусна https винаги редиректва към първия SSL сървър, описан в конфигурационните файлове.
Доколкото разбрах, проблемът е принципен, защото по време на установяване на SSL сесията името на домейна още не е известно и затова проксито дава първия срещнат в конфигурацията.
Има ли начин това да се преодолее?

gat3way · « **Отговор #1 -:** Sep 01, 2011, 22:26 »

Това е проблем по принцип. Примерно е забавно да подкараш няколко vhost-а с отделни сертификати на един и същ порт. "Разпознаването" на виртуалния хост става на база на Host: полето в заявката, обаче за да се стигне дотам трябва да се установи SSL сесия и сървърът няма как да знае с кой сертификат да го направи. Има едно разширение на TLS протокола, според което ако след установяване на сесията и получаване на заявката, това от Host: полето не е вярно, следва SSL renegotiation и представяне на "правилния" сертификат. Когато беше започнало да става по-масово излезе една уязвимост, която позволяваше донякъде MitM атака като лошият нарочно можеше да хване част от трафика в cleartext, renegotiate-вайки SSL сесията. Поради тази причина масово почнаха да забраняват renegotiation-a. Не съм особено в течение с продължението на тази история, но честно казано ме съмнява mod_proxy да подържа въпросното разширение.

sstefanov · « **Отговор #2 -:** Sep 01, 2011, 23:39 »

Аз имам валиден wildcart сертификат, който е инсталиран на проксито и сертификата засега не е проблем.
Проблем е разпознаването на името на сървъра и редиректването му към правилния сървър.
Имам една идея, но не намирам нищо подобно на нея в Интернет, което показва че вероятно е много глупава и затова ще се въздържа да я споделя.

plamen_f · « **Отговор #3 -:** Sep 02, 2011, 08:45 »

Принципно несподелянето на идеи не ги прави по-умни. Приеми, че всеки от нас може да измисли или реализра глупост и ти не си изключение.
Тук има достатаъчно вещи хора по проблематиката на темата - сподели си идеята - дори да е глупава може да стане и умна.

triel · « **Отговор #4 -:** Sep 02, 2011, 09:57 »

Само да добавя към мнението на gat3way, че въпросното разширение на протокола се нарича SNI (Server Name Indication) и повече информация за него може да се открие тук: http://en.wikipedia.org/wiki/Server_Name_Indication

sstefanov · « **Отговор #5 -:** Sep 26, 2011, 20:22 »

Идеята е проксито първо да препраща https заявката към себе си, но вече по http. Така втория път ще знае домейна и по http ще може да препрати заявката на правилния сървър.

Подобни теми
	Заглавие	Започната от	Отговора	Прегледи	Последна публикация
	reverse ssh Настройка на програми	Agent_SMITH	11	9527	Dec 29, 2005, 17:33 от poisoner
	reverse proxy Настройка на програми	dvanaise	1	6611	Feb 13, 2011, 02:13 от gat3way
	vhosts на nginx при proxy reverse Настройка на програми	bILLY	1	3678	Aug 22, 2016, 22:03 от pennywise
	Jellyfin reverse proxy with Apache + DNS + SSL Сървъри	ivanovslavy	0	7314	Dec 31, 2023, 13:11 от ivanovslavy
	Apache2 reverse proxy to Azuracast installed in Docker container Сървъри	ivanovslavy	2	9089	Jan 04, 2024, 12:28 от ivanovslavy

Автор Тема: SSL Reverse Proxy с Apache (Прочетена 5526 пъти)

sstefanov

SSL Reverse Proxy с Apache

gat3way

Re: SSL Reverse Proxy с Apache

sstefanov

Re: SSL Reverse Proxy с Apache

plamen_f

Re: SSL Reverse Proxy с Apache

triel

Re: SSL Reverse Proxy с Apache

sstefanov

Re: SSL Reverse Proxy с Apache