You are viewing a plain text version of this content. The canonical link for it is here.
Posted to users-de@httpd.apache.org by Reindl Harald <h....@thelounge.net> on 2013/08/17 22:21:01 UTC
Windows XP / Inernet Explorer 6 / SNI
Ähm seit wann kann der MSIE6 SNI?
Sprich NameBased Virtual SSL-Hosts
Eben herumgespielt, Apache 2.4 warnt zwar brav beim Start
aber oh Wunder MISE6/MSIE7/MSIE8 unter Windows XP zeigen
alle 3 Virtual-Hosts an und zwar mit dem richtigen Docroot
bzw. im konkreten Fall mod_proxy
Oder liegt das nur am Zufall dass alle 3 vHosts das gleiche
SSL-Zertifikat benutzen und damit der Handshake egal ist
weil ohnehin Warnung und nachdem Handshake der Servername
die restliche Config bestimmt?
___________________________________
[Sat Aug 17 22:16:10.020553 2013] [ssl:warn] [pid 19377] AH01909: RSA certificate configured for
replies.thelounge.net:443 does NOT include an ID which matches the server name
[Sat Aug 17 22:16:10.021065 2013] [ssl:warn] [pid 19377] AH01909: RSA certificate configured for
mailadmin.thelounge.net:443 does NOT include an ID which matches the server name
___________________________________
[Sat Aug 17 22:16:10.021573 2013] [ssl:warn] [pid 19377] AH02292: Init: Name-based SSL virtual hosts only work for
clients with TLS server name indication support (RFC 4366)
Re: Windows XP / Inernet Explorer 6 / SNI
Posted by Reindl Harald <h....@thelounge.net>.
Nachtrag:
Es liegt am Zufall des gleichen Zertifikats
Bzw. wählt der Apache den richtigen vHost inkl. Docroot
Er präsentiert nur eben immer das Zertifikat des ersten
SSL-Hosts, Firefox bekommt auch das richtige Zertifikat
Wäre ja zu schön gewesen wenn man plötzlich für ernsthafte
Benutzung von mehreren SSL-Hosts und möglichen Business Kunden
nicht für jeden eine eigene IP am Host bräuchte ohne Warnungen
im Client zu generieren
Schön dass Windows XP 2014 stirbt und man sich im Bezug auf
Security dann darauf ausreden kann ein nicht supportetes 13
Jahre altes OS nicht weiter zu berücksichtigen und wer das
weiter benutzt muss sich auch keine Gedanken um SSL machen
Am 17.08.2013 22:21, schrieb Reindl Harald:
> Ähm seit wann kann der MSIE6 SNI?
> Sprich NameBased Virtual SSL-Hosts
>
> Eben herumgespielt, Apache 2.4 warnt zwar brav beim Start
> aber oh Wunder MISE6/MSIE7/MSIE8 unter Windows XP zeigen
> alle 3 Virtual-Hosts an und zwar mit dem richtigen Docroot
> bzw. im konkreten Fall mod_proxy
>
> Oder liegt das nur am Zufall dass alle 3 vHosts das gleiche
> SSL-Zertifikat benutzen und damit der Handshake egal ist
> weil ohnehin Warnung und nachdem Handshake der Servername
> die restliche Config bestimmt?
> ___________________________________
>
> [Sat Aug 17 22:16:10.020553 2013] [ssl:warn] [pid 19377] AH01909: RSA certificate configured for
> replies.thelounge.net:443 does NOT include an ID which matches the server name
> [Sat Aug 17 22:16:10.021065 2013] [ssl:warn] [pid 19377] AH01909: RSA certificate configured for
> mailadmin.thelounge.net:443 does NOT include an ID which matches the server name
> ___________________________________
>
> [Sat Aug 17 22:16:10.021573 2013] [ssl:warn] [pid 19377] AH02292: Init: Name-based SSL virtual hosts only work for
> clients with TLS server name indication support (RFC 4366)