Hlavní navigace

Názory k článku
SSL na virtuálních webových serverech se SNI

Harvie.CZ
Harvie.CZ (neregistrovaný) 2002:59b0:72--:----:----:----:----:----
7. 11. 2011 0:29 Nový

hosting s podporou SNI

celé vlákno

No, pokud na to prijde, tak SNI je mozne treba u hostingu http://spoje.net/ jenom mi to pripiste do poznamky k objednavce :-)

Jindrich Makovicka aura:94

Re: hosting s podporou SNI

celé vlákno
Harvie.CZ
Harvie.CZ (neregistrovaný) 2002:59b0:72--:----:----:----:----:----
7. 11. 2011 0:37 Nový

LinuxAlt

celé vlákno

Jinak koukam, ze mi na linuxaltu nic neuteklo, kdyz sem byl na prednasce o GNU Radiu. Hadam, ze napln prednasky o SNI byla ekvivalentni k naplni tohoto clanku :)

Petr Krčmář aura:99
7. 11. 2011 10:53 Nový

Re: LinuxAlt

celé vlákno

Ano, článek je vlastně přepisem přednášky. To GNU Rádio mě taky zajímalo, takže se těším na záznamy. Prý by letos už opravdu měly být do konce roku venku.

Samuel Kupka aura:83
7. 11. 2011 4:33 Nový

iOS 3.2.2

celé vlákno

Na mojom iOS 3.2.2 SNI v zabudovanom prehliadaci funguje, cize zmena musela prist niekedy medzi tymito dvoma verziami.

Petr Krčmář aura:99
7. 11. 2011 10:55 Nový

Re: iOS 3.2.2

celé vlákno

Aha, díky. Já jsem prodával iPhone a před prodejem jsme provedli upgrade myslím z 3.1.2 na 4.2 a začalo to fungovat. Díky za zpřesnění „rozlišení“.

obrys
obrys (neregistrovaný) ---.skoda-auto.cz
7. 11. 2011 9:02 Nový

WinXP & Chrome

celé vlákno

Mám takový dojem, že na windows xp nefunguje více prohlížečů než jen IE. Před rokem jsem SNI zkoušel a v kombinaci xp s Chrome mi SNI nejelo. Pravděpodobně Chrome využívá systémové SSL stejně jako IE.

Od té doby se ale situace mohla změnit.

Petr Krčmář aura:99
7. 11. 2011 11:04 Nový

Re: WinXP & Chrome

celé vlákno

Chrome to řeší až od verze 6. Předchozí verze používaly systémové SSL knihovny, takže jste se s tím skutečně mohl setkat. Teď už by to zlobit nemělo.

tom
tom (neregistrovaný) 62.168.56.---
7. 11. 2011 9:29 Nový

Clanek neni tak uplne pravdivy

celé vlákno

Na jednom stroji muzete mit spoustu SSL serveru i na jedne IP. Staci je pustit na ruznych portech.

Luf
Luf (neregistrovaný) ---.net.upcbroadband.cz
7. 11. 2011 9:40 Nový

Re: Clanek neni tak uplne pravdivy

celé vlákno

A nebo pouzit subjectAltName DNS:jmeno1, DNS: jmeno2, ...

limit_false
limit_false (neregistrovaný) ---.net.upcbroadband.cz
8. 11. 2011 23:48 Nový

Re: Clanek neni tak uplne pravdivy

celé vlákno

SubjectAltName Extension muze taky nekdy vest k zajimavym vysledkum:

http://paste.ubuntu.com/732547/

(3 certifikaty s mirne "nadprumernym" poctem jmen v SubjectAlterna­tiveName extension)

Petr Krčmář aura:99
7. 11. 2011 11:06 Nový

Re: Clanek neni tak uplne pravdivy

celé vlákno

Možné to samozřejmě je, ale pro běžného uživatele je to nepoužitelné. To už můžete rovnou jet jen na IPv6.

tom
tom (neregistrovaný) 62.168.56.---
7. 11. 2011 11:40 Nový

Re: Clanek neni tak uplne pravdivy

celé vlákno

Bezny uzivatel to vubec nepozna, zada do prohlizece www.example.com a tam je presmerovan na https. Meli jsme to tak 2 roky a nikdo si na to reseni nestezoval ani nepotreboval support.

Ondřej Novák aura:39

Re: Clanek neni tak uplne pravdivy

celé vlákno

A jak jste si poradili s proxy, které povoluji CONNECT jen na portu 443?

tom
tom (neregistrovaný) 62.168.56.---
7. 11. 2011 15:57 Nový

Re: Clanek neni tak uplne pravdivy

celé vlákno

Vubec jsme na ne nenarazili. Zrejme je nikdo nepouziva.

Tonda aura:43

Re: Clanek neni tak uplne pravdivy

celé vlákno

Až na to, že na takovou proxy nenarazí provozovatel webu, ale narazí na ní uživatel a projeví se mu to tak, že se na ten web vůbec nedostane a tedy ani nemá jak dát provozovateli toho webu vědět. A i kdyby měl alternativní cestu a znalosti jak dohledat kontakt na majitele webu, tak kolik lidí se tím kontaktováním bude obtěžovat? IMO naprosto zanedbatelné minimum.

tom
tom (neregistrovaný) ---.net.upcbroadband.cz
7. 11. 2011 20:48 Nový

Re: Clanek neni tak uplne pravdivy

celé vlákno

Priste trochu premyslejte - staci se koukat do access logu, kdo pristoupil na stranku, ktera ho ma presmerovat a uz ne na stranku, na kterou mel byt presmerovan. Access log mate preci na serveru k dispozici.

Tonda aura:43

Re: Clanek neni tak uplne pravdivy

celé vlákno

Jo, to mě v ten moment nenapadlo, kdybych po tom cíleně pátral tak bych klienty co na SSL nedorazili našel.

To ale nemění nic na tom, že provozovat HTTPS na nestandardním portu je těžká nouzovka a zoufalost. Osobně bych radši zvolil certifikát s neodpovídajícím hostname.

tom
tom (neregistrovaný) ---.net.upcbroadband.cz
8. 11. 2011 0:49 Nový

Re: Clanek neni tak uplne pravdivy

celé vlákno

> Osobně bych radši zvolil certifikát s neodpovídajícím hostname.
Osobne mi to bylo uplne jedno. Zadavatel chtel odstranit problem s varovanim v prohlizeci, kteremu lidi nerozumi bez alokace dalsi IP.

vandrovnik
vandrovnik (neregistrovaný) ---.trionet.cz
7. 11. 2011 18:16 Nový

Re: Clanek neni tak uplne pravdivy

celé vlákno

Proxy omezující HTTP a HTTPS komunikaci na porty 80 a 443 používáme ve škole i na internátech.

tom
tom (neregistrovaný) ---.net.upcbroadband.cz
7. 11. 2011 22:13 Nový

Re: Clanek neni tak uplne pravdivy

celé vlákno

Jak uz jsem tu psal, nekolik mesicu jsme to sledovali a na nikoho takoveho jsme nenarazili. Ani pote neprisla zadna stiznost (behem 2 let, pak to slo na svuj stroj). Na strasidelne vyhlizejici hlasku z IE si lide obcas stezovali.

lol
lol (neregistrovaný) ---.chello.sk
8. 11. 2011 9:23 Nový

Re: Clanek neni tak uplne pravdivy

celé vlákno

absencia stazovatelov neznamena, ze vase riesenie je dobre. Ale pre klud duse si to mozete hovorit

tom
tom (neregistrovaný) 62.168.56.---
8. 11. 2011 11:27 Nový

Re: Clanek neni tak uplne pravdivy

celé vlákno

Znate lepsi?

MilanK
MilanK (neregistrovaný) ---.din.cz
7. 11. 2011 23:37 Nový

Re: Clanek neni tak uplne pravdivy

celé vlákno

Bezneho uzivatele je nutno naucit, aby zadal https://www.example.com, protoze to presmerovani z http://www.example.com je takova bezpecnostni dira, ze je pak uz skoro zbytecne pouzivat SSL :-)

tom
tom (neregistrovaný) ---.net.upcbroadband.cz
8. 11. 2011 0:57 Nový

Re: Clanek neni tak uplne pravdivy

celé vlákno

Polovina beznych uzivatelu zadava adresy do googlu nebo do seznamu. Resit u nich bezpecnost je asi jako chytat mouchy do klece.

Martin Strejc
Martin Strejc (neregistrovaný) 212.71.130.---
7. 11. 2011 12:07 Nový

Re: Clanek neni tak uplne pravdivy

celé vlákno

Na jedné IP opravdu lze pustit sice webservery a tedy i virtuální hostingy na různých portech, avšak v řadě sítí (firemních, v kavárnách a otevřených wifi sítích nebo některých ISP) se stává, že jsou různé nestandardní porty blokovány, tudíž by se lidé na tyto servery nedostaly vůbec. Je tedy přeci jen z praktického hlediska lepší používat pro HTTP protokol port 80 a pro HTTPS protokol port 443 a přejít k řešení např. pomocí SNI, minimálně do doby, než bude více rozšířené IPv6 (což osobně odhaduji v ČR ještě min. na rok).

ff
ff (neregistrovaný) ---.178-40-142.t-com.sk
7. 11. 2011 11:12 Nový

hosting

www.ElbiaHosting.sk taktiez podporuje

Martin Hruška
Martin Hruška (neregistrovaný) ---.net.upcbroadband.cz
7. 11. 2011 13:35 Nový

ztráta soukromí

celé vlákno

Autor bohužel v článku neřeší menší problém.

Zatímco s pravým SSL případný útočník vidí jen změť dat, která proudí na nějakou IP adresu, s tímhle svinstvem SNI útočník vidí přístup na doménu, třeba porno-zdarma.cz.

A uživatel se to ani nedozví, protože je to "přece přes HTTPS"!

Samuel Kupka aura:83
7. 11. 2011 13:43 Nový

Re: ztráta soukromí

celé vlákno

A bez SNI vidi pristup na IPv4 adresu, na ktorej je bez SNI len jedna domena, napriklad porno-zdarma.cz, cize sme si velmi nepomohli.

Petr Krčmář aura:99
7. 11. 2011 13:44 Nový

Re: ztráta soukromí

celé vlákno

To je pravda, všechny prohlížeče, které to podporují, posílají v ClientHello automaticky doménu v otevřeném formátu. Jinak se to bohužel vyřešit nedá.

Pokud má uživatel strach z odposlechu, může použít nějaký dodatečný tunel, který zapouzdří spojení jako celek.

Ignotus aura:43

Re: ztráta soukromí

celé vlákno

Nuž ale s dosť vysokou pravdepodobnosťou takýto útočník uvidí ešte pred https požiadavkom nejakú dns-query, takže až tak veľa sa nedeje.

limit_false
limit_false (neregistrovaný) ---.net.upcbroadband.cz
8. 11. 2011 22:09 Nový

Re: ztráta soukromí

celé vlákno

S "pravym SSL" (bez SNI) stejne utocnik vidi, jaky retezec certifikatu server posila, tudiz utocnik domenu uvidi v Common Name (pripadne Subject Alternative Names).

Tomáš Jacík
Tomáš Jacík (neregistrovaný) 82.100.43.---
7. 11. 2011 13:47 Nový

FoxyHosting.cz - podpora SNI

Dobrý den,

náš hosting FoxyHosting.cz (dříve Space4Web.org) podporuje SNI již velice dlouho. Náročnějším klientům dáme i tu vlastní IP adresu, pokud ji potřebují.

orso
orso (neregistrovaný) 147.175.3.---
7. 11. 2011 16:11 Nový

ispconfig 3

Maly providery ktory pouzivaju ISPconfig 3 maju maly bezvyznamny bodik :)

Mi. Chal. aura:33
7. 11. 2011 20:04 Nový

Co víc portů?

Nestačí mít weby na různých portech? Třeba na IIS tak lze mít víc webů s SSL.

Tonda aura:43

Kampaň na podporu SNI u hostingu Endora.cz

Snažím se přesvědčit svého poskytovatele hostingu http://www.endora.cz k zavedení SNI. Pokud by měl někdo zájem o hosting za 15 Kč měsíčně s podporou vlastního certifikátu přes SNI ozvěte se na fóru nebo FB.

http://podpora.endora.cz/viewtopic.php?f=6&t=4166
https://www.facebook.com/endora.cz

Vlado
Vlado (neregistrovaný) ---.chello.sk
10. 11. 2011 20:40 Nový

podpora SNI na hostingu

www.exohosting.sk podporuje SNI

petzah
petzah (neregistrovaný) ---.antik.sk
8. 1. 2012 13:51 Nový

SNI webhosting

www.vpstech.sk tiez podporuje SNI

Zasílat nově přidané příspěvky e-mailem