होस्ट-हेडर के आधार पर एसएसएल प्रमाणपत्र चयन: क्या यह संभव है?

क्या एक वेब सर्वर के लिए आने वाले कनेक्शन के होस्ट-हेडर के आधार पर उपयोग करने के लिए एसएसएल प्रमाणपत्र का चयन करना संभव है, या क्या वह जानकारी जो एसएसएल कनेक्शन स्थापित होने के बाद ही उपलब्ध है?

अर्थात, क्या मेरा वेबसर्वर 443 पोर्ट पर सूचीबद्ध हो सकता है और अगर https://foo.com का अनुरोध किया जाता है, तो foo.com प्रमाणपत्र का उपयोग करें और यदि https://bar.com से अनुरोध किया जाता है या मैं कोशिश कर रहा हूं कुछ असंभव है क्योंकि सर्वर को एसएसएल कनेक्शन स्थापित करना पड़ता है, इससे पहले कि वह जानता है कि ग्राहक क्या चाहता है?

ऐतिहासिक रूप से, आपका पहला कथन सटीक है। अब, कई विकल्प हैं:

• एक वाइल्डकार्ड प्रमाणपत्र अगर एक ही डोमेन के भीतर उप डोमेन।
• प्रमाणपत्र के लिए वैकल्पिक नामों को निर्दिष्ट करने के लिए एक SAN / UCC प्रमाणपत्र, इस प्रकार कई प्रमाणपत्रों की सेवा करने में सक्षम होना।
• होस्ट हेडर के बाद SSL कनेक्शन स्थापित करने के लिए SNI की शुरुआत की गई थी। हालाँकि, इसका सीमित समर्थन है, क्योंकि यह नया है।

यह खुद और दूसरों द्वारा ServerFault पर कई बार जवाब दिया गया है। जब तक आपके पास कोई विशिष्ट प्रश्न न हो, मैं आगे का विवरण खोजना चाहूंगा।

वार्नर के उत्तर का विस्तार करने के लिए: CAcert का पृष्ठ Vhost टास्क फोर्स एक सर्वर पर कई डोमेन का उपयोग करने के लिए कई तरीकों की तुलना करता है। मैं व्यक्तिगत रूप से सर्वर नाम संकेत का उपयोग करता हूं ।

संक्षिप्त उत्तर: नहीं

एसएसएल के अंदर HTTP एनकैप्सुलेटेड है , इसलिए कनेक्शन स्थापित होने तक अनुरोध के बारे में कोई भी जानकारी अप्राप्य है। इसलिए जब तक ग्राहक को एक प्रमाण पत्र नहीं दिया गया। हेडर और न ही किसी अन्य एन्क्रिप्टेड जानकारी का उपयोग करने का कोई तरीका नहीं है, क्योंकि वे अभी भी उपलब्ध नहीं हैं।

EDIT: यह सच है अगर आप चाहते हैं कि आजकल क्रॉस ब्राउज़र और पूरी तरह से पोर्टेबल हो। जैसा कि दूसरों ने कहा है कि निकट भविष्य में कुछ नए उभरते हुए तरीके संभव हैं।

या वह सूचना जो एसएसएल कनेक्शन स्थापित होने के बाद ही उपलब्ध है?

सही बात। SSL अनुरोध HTTP अनुरोध (होस्ट हेडर शामिल) के किसी भी भाग को भेजे जाने से पहले स्थापित किया गया है।