होस्ट-हेडर के आधार पर एसएसएल प्रमाणपत्र चयन: क्या यह संभव है?


17

क्या एक वेब सर्वर के लिए आने वाले कनेक्शन के होस्ट-हेडर के आधार पर उपयोग करने के लिए एसएसएल प्रमाणपत्र का चयन करना संभव है, या क्या वह जानकारी जो एसएसएल कनेक्शन स्थापित होने के बाद ही उपलब्ध है?

अर्थात, क्या मेरा वेबसर्वर 443 पोर्ट पर सूचीबद्ध हो सकता है और अगर https://foo.com का अनुरोध किया जाता है, तो foo.com प्रमाणपत्र का उपयोग करें और यदि https://bar.com से अनुरोध किया जाता है या मैं कोशिश कर रहा हूं कुछ असंभव है क्योंकि सर्वर को एसएसएल कनेक्शन स्थापित करना पड़ता है, इससे पहले कि वह जानता है कि ग्राहक क्या चाहता है?

जवाबों:


23

ऐतिहासिक रूप से, आपका पहला कथन सटीक है। अब, कई विकल्प हैं:

  • एक वाइल्डकार्ड प्रमाणपत्र अगर एक ही डोमेन के भीतर उप डोमेन।
  • प्रमाणपत्र के लिए वैकल्पिक नामों को निर्दिष्ट करने के लिए एक SAN / UCC प्रमाणपत्र, इस प्रकार कई प्रमाणपत्रों की सेवा करने में सक्षम होना।
  • होस्ट हेडर के बाद SSL कनेक्शन स्थापित करने के लिए SNI की शुरुआत की गई थी। हालाँकि, इसका सीमित समर्थन है, क्योंकि यह नया है।

यह खुद और दूसरों द्वारा ServerFault पर कई बार जवाब दिया गया है। जब तक आपके पास कोई विशिष्ट प्रश्न न हो, मैं आगे का विवरण खोजना चाहूंगा।


4
मैं खोजता गया और कुछ भी नहीं मिला; यह शायद उन चीजों में से एक है जो केवल खोजना आसान है यदि आप उत्तर जानते हैं तो आप इसे खोज शब्दों में शामिल कर सकते हैं। धन्यवाद।
DrStalker

3
यदि सर्वरफॉल्ट पर मौजूदा उत्तर हैं, तो उन्हें लिंक करना अच्छा होगा।
21


3
SNI होस्ट शीर्ष लेख के बाद SSL कनेक्शन स्थापित नहीं करता है, लेकिन SSL हैंडशेक में होस्टनाम शामिल करता है। ऐसा नहीं है कि यह मायने रखता है यदि आप एसएसएल डेवलपर नहीं हैं।
बार्ट वैन हीकेलोम

Serverfault सर्च करने पर इसका जवाब मिलता है। इसका मतलब है कि विहित रूप से कोई अन्य प्रश्न इस एक के डुप्लिकेट हैं। यही कारण है कि लिंक आप शामिल कोई परिणाम नहीं है।
इयान बॉयड

5

वार्नर के उत्तर का विस्तार करने के लिए: CAcert का पृष्ठ Vhost टास्क फोर्स एक सर्वर पर कई डोमेन का उपयोग करने के लिए कई तरीकों की तुलना करता है। मैं व्यक्तिगत रूप से सर्वर नाम संकेत का उपयोग करता हूं ।


आप विंडोज एक्सपी उपयोगकर्ताओं, एंड्रॉइड उपयोगकर्ताओं, ब्लैकबेरी उपयोगकर्ताओं आदि के साथ कैसे सामना करते हैं?
थोमसट्रेटर

3

संक्षिप्त उत्तर: नहीं

एसएसएल के अंदर HTTP एनकैप्सुलेटेड है , इसलिए कनेक्शन स्थापित होने तक अनुरोध के बारे में कोई भी जानकारी अप्राप्य है। इसलिए जब तक ग्राहक को एक प्रमाण पत्र नहीं दिया गया। हेडर और न ही किसी अन्य एन्क्रिप्टेड जानकारी का उपयोग करने का कोई तरीका नहीं है, क्योंकि वे अभी भी उपलब्ध नहीं हैं।

EDIT: यह सच है अगर आप चाहते हैं कि आजकल क्रॉस ब्राउज़र और पूरी तरह से पोर्टेबल हो। जैसा कि दूसरों ने कहा है कि निकट भविष्य में कुछ नए उभरते हुए तरीके संभव हैं।


1

या वह सूचना जो एसएसएल कनेक्शन स्थापित होने के बाद ही उपलब्ध है?

सही बात। SSL अनुरोध HTTP अनुरोध (होस्ट हेडर शामिल) के किसी भी भाग को भेजे जाने से पहले स्थापित किया गया है।


2
यह अब पूरी तरह से सही नहीं है।
वार्नर
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.