Hlavní navigace

Názor k článku Let's Encrypt zablokoval nebezpečnou validaci pomocí self-signed certifikátu od Ondřej Caletka - Oprava: Jak jsem byl upozorněn e-mailem od Jozefa...

  • Článek je starý, nové názory již nelze přidávat.
  • 12. 1. 2018 12:29

    Ondřej Caletka

    Oprava: Jak jsem byl upozorněn e-mailem od Jozefa Suchdolského (díky!), web server při rozhodování, který certifikát klientovi poslat, nerozhoduje podle doménových jmen v certifikátech, ale podle konfigurovaného doménového jména daného virtuálního webserveru.

    Uvedený DoS potenciál tedy neplatí a zároveň původní zranitelnost vyžaduje, aby útočník přejmenoval název svého virtuálního webserveru z badbuy.example na ověřovací jméno, například 773c7d.13445a­.acme.invalid.