You are viewing a plain text version of this content. The canonical link for it is here.
Posted to users-de@httpd.apache.org by Andre Hübner <an...@gmx.de> on 2008/09/29 16:13:55 UTC
SSL - angefragter hostname
Hallo Liste,
hab sowas in meiner httpd.conf um einen Host unter SSL erreichbar zu machen.
<VirtualHost ip.ad.re.ss:443>
SuexecUserGroup user user
Serveradmin webmaster@hostname.com
DocumentRoot /www/htdocs/user/
ServerName www.hostname.com
php_admin_value open_basedir
/www/htdocs/user/:/tmp:/usr/bin:/www/htdocs/user:/bin:/usr/local/bin:/usr/share/php
ScriptAlias /cgi-bin/ "/www/htdocs/user/cgi-bin/"
SSLEngine on
SSLCertificateFile /path/to/SSL2_www.hostname.com.crt
SSLCertificateKeyFile /path/to/SSL2_www.hostname.com.key
SSLCACertificateFile /path/to/SSL2_www.hostname.com.bundle.crt
SSLOptions +FakeBasicAuth +ExportCertData +StrictRequire
SetEnvIf User-Agent ".*MSIE.*" \
nokeepalive ssl-unclean-shutdown \
downgrade-1.0 force-response-1.0
</VirtualHost>
Kann ich es mit einer Option erreichen das der Apache auch nur ausliefert
wenn der angefragte Hostname auch wirklich dem im Zertifikat entspricht?
Bisher kommt zwar eine Warnung im Browser das der verwendete Host nicht zum
Zertifikat passt, ich denke dies macht allein der Browser aber ich würde
hier den Server gerne einen error sende lassen. Gibt es dazu passende
SSL-Optionen? Ich find nichts was so wirklich passt. Kann jemand einen Tipp
geben?
Danke
Andre
--------------------------------------------------------------------------
Apache HTTP Server Mailing List "users-de"
unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
sonstige Anfragen an users-de-help@httpd.apache.org
--------------------------------------------------------------------------
Re: SSL - angefragter hostname
Posted by Christian Wäschenfelder <cw...@websale-ag.de>.
Hi,
hiermit könnte man die Anfrage auf eine Fehlerseite umleiten:
RewriteEngine on
RewriteCond %{HTTP_HOST} !(www\.hostname\.com)
RewriteRule .* /fehlerseite.html
Die Meldung des Browsers bleibt allerdings erhalten, da der
SSL-Handshake vor der Übermittlung des Requests stattfindet.
Gruß,
Christian
Andre Hübner schrieb:
> Hallo Liste,
>
>
> hab sowas in meiner httpd.conf um einen Host unter SSL erreichbar zu
> machen.
>
> <VirtualHost ip.ad.re.ss:443>
> SuexecUserGroup user user
> Serveradmin webmaster@hostname.com
> DocumentRoot /www/htdocs/user/
> ServerName www.hostname.com
> php_admin_value open_basedir
> /www/htdocs/user/:/tmp:/usr/bin:/www/htdocs/user:/bin:/usr/local/bin:/usr/share/php
>
> ScriptAlias /cgi-bin/ "/www/htdocs/user/cgi-bin/"
> SSLEngine on
> SSLCertificateFile /path/to/SSL2_www.hostname.com.crt
> SSLCertificateKeyFile /path/to/SSL2_www.hostname.com.key
> SSLCACertificateFile /path/to/SSL2_www.hostname.com.bundle.crt
> SSLOptions +FakeBasicAuth +ExportCertData +StrictRequire
> SetEnvIf User-Agent ".*MSIE.*" \
> nokeepalive ssl-unclean-shutdown \
> downgrade-1.0 force-response-1.0
> </VirtualHost>
>
>
> Kann ich es mit einer Option erreichen das der Apache auch nur
> ausliefert wenn der angefragte Hostname auch wirklich dem im Zertifikat
> entspricht?
> Bisher kommt zwar eine Warnung im Browser das der verwendete Host nicht
> zum Zertifikat passt, ich denke dies macht allein der Browser aber ich
> würde hier den Server gerne einen error sende lassen. Gibt es dazu
> passende SSL-Optionen? Ich find nichts was so wirklich passt. Kann
> jemand einen Tipp geben?
>
> Danke
> Andre
>
>
> --------------------------------------------------------------------------
> Apache HTTP Server Mailing List "users-de"
> unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
> sonstige Anfragen an users-de-help@httpd.apache.org
> --------------------------------------------------------------------------
>
--------------------------------------------------------------------------
Apache HTTP Server Mailing List "users-de"
unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
sonstige Anfragen an users-de-help@httpd.apache.org
--------------------------------------------------------------------------
Re: SSL - angefragter hostname
Posted by Andre Hübner <an...@gmx.de>.
Hallo,
> Dir ist klar das der apache das was er sendet über nur über den
> hostnamen senden kann, der angefragt wurde?
>
> hilft RewriteCond Dir weiter?
> http://httpd.apache.org/docs/2.2/mod/mod_rewrite.html
>
> falk
ja, das ist mir klar. Der Server sollte aber eine art errorcode von sich aus
senden können. mod_rewrite ist in diesem fall nur eine Krücke.
Falls Ihr selber eine SSL-Domain betreibt dann macht doch auch mal einen
pci-scan. Den einigermaßen zu bestehen ist Vorraussetzung für das
Worldpay-Bezahlsystem das ein Kunde einsetzen will.
Wörtlich heißt es im Ergebnis:
Family: Remote Shell Access Critical 443/tcp 11875
Description:
The remote host responded to an unrequested SSL Certificate. The remote SSL
server should have
sent back an Error message. This may indicate that the server is vulnerable
to a remote
flaw in the way that it handles unrequested certificates. You should
manually inspect the
SSL Server's configuration
Danke
Andre
--------------------------------------------------------------------------
Apache HTTP Server Mailing List "users-de"
unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
sonstige Anfragen an users-de-help@httpd.apache.org
--------------------------------------------------------------------------
Re: SSL - angefragter hostname
Posted by Falk Hackenberger <ap...@spam.huckley.de>.
Andre Hübner schrieb:
> Kann ich es mit einer Option erreichen das der Apache auch nur
> ausliefert wenn der angefragte Hostname auch wirklich dem im Zertifikat
> entspricht?
> Bisher kommt zwar eine Warnung im Browser das der verwendete Host nicht
> zum Zertifikat passt, ich denke dies macht allein der Browser aber ich
> würde hier den Server gerne einen error sende lassen.
Dir ist klar das der apache das was er sendet über nur über den
hostnamen senden kann, der angefragt wurde?
hilft RewriteCond Dir weiter?
http://httpd.apache.org/docs/2.2/mod/mod_rewrite.html
falk
--------------------------------------------------------------------------
Apache HTTP Server Mailing List "users-de"
unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
sonstige Anfragen an users-de-help@httpd.apache.org
--------------------------------------------------------------------------