форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы WEB технологии (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Странный вопрос по поводу SSL"
Сообщение от Vladp on 04-Апр-03, 12:09  (MSK)
Подтвердите, пожалуйста, или опровергните этот текст. Один знакомый в штатах арендует сервер host.domain с адресом 1.2.3.4. На этом серваке в настоящий момент крутится один единственный сайт, который откликается на имя www.domain и domain. Естественно на этом сервере можно создать кучу name-based виртуальных серверов. И вот этот знакомый решил заняться электронной комерцией со всякими там кредитными карточками. Ему понадобился HTTPS и правильный сертификат для www.domain, который он решил купить на VeriSign. Вот с этого места и начинаются странности. Хостеры, которые этот сервак держат, сказали этому человеку, что для этих целей ему нужен будет второй IP 5.6.7.8, потому как VeriSign не выдает сертификаты для name-based серверов  а только для IP-based. Я в легком ступоре поскольку не понимаю какое отношение имеет сертификат для сайта к тому как он хостится? Просто такое чувство что с него просто сдирают деньги. Или это все-таки я чего-то не понимаю?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Странный вопрос по поводу SSL"
Сообщение от Арлекин on 04-Апр-03, 12:40  (MSK)
Топает твой друг на sun.com, берет там бесплатные SunONE IdentityServer и SunONE CertificateServer и делает сам какие хочет, кому хочет и когда хочет сертификаты. Естествено ВСЕ в яве и повозиться придется, но снимает любые вопросы с web-доступом.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "Странный вопрос по поводу SSL"
	Сообщение от Vladp on 04-Апр-03, 13:10  (MSK)
	>Топает твой друг на sun.com, берет там бесплатные SunONE IdentityServer и SunONE >CertificateServer и делает сам какие хочет, кому хочет и когда хочет >сертификаты. Естествено ВСЕ в яве и повозиться придется, но снимает любые >вопросы с web-доступом. Здесь вопрос имеено в идеологии сомой работы. Сертификат сваять (вот только никем не подписаный :)) я и сам могу.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Странный вопрос по поводу SSL"
Сообщение от Max Zinal on 05-Апр-03, 17:25  (MSK)
Есть у меня некая мыслишка. Если IP 1.2.3.4 принадлежит провайдеру, у коего Ваш знакомый арендует хостинг, то написанный текст, похоже, соответствует действительности. Сердификаты сайта *действительно* должны цепляться к IP, поскольку в противном случае возможна масса дополнительных трюков, обманывающих систему безопасности. Понятно нежелание провайдера отдавать Вашему знакомому право на использование сертификата, удостоверяющего, фактически, не ему принадлежащий IP, и политика VeriSign, которая отдает подписанные CA сертификаты только легальному владельцу соответствующего IP. Красота требует жертв. Бизнес ещё прожорливее.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "Странный вопрос по поводу SSL"
	Сообщение от Vladp on 05-Апр-03, 18:04  (MSK)
	>Есть у меня некая мыслишка. > >Если IP 1.2.3.4 принадлежит провайдеру, у коего Ваш знакомый >арендует хостинг, то написанный текст, похоже, соответствует >действительности. Сердификаты сайта *действительно* должны >цепляться к IP, поскольку в противном случае возможна масса >дополнительных трюков, обманывающих систему безопасности. >Понятно нежелание провайдера отдавать Вашему знакомому >право на использование сертификата, удостоверяющего, >фактически, не ему принадлежащий IP, и политика VeriSign, >которая отдает подписанные CA сертификаты только легальному >владельцу соответствующего IP. > >Красота требует жертв. Бизнес ещё прожорливее. Ну если это еще кто-нибудь подтверждает кроме тех хостеров, то будем думать что это похоже на правду. Балуясь в тестовых целях с сертификатами, выписывая их самостоятельно и подписывая их своим собстенным сертификатом, прикидываясь крутым CA :), я совсем не нашел там никаких упоминаний про IP-адрес, только доменное имя. Видимо я не все в этой области знаю... :( Есть ссылочка, чтобы прочитать про это подробнее?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "Странный вопрос по поводу SSL"
	Сообщение от Max Zinal on 05-Апр-03, 22:04  (MSK)
	>Ну если это еще кто-нибудь подтверждает кроме тех хостеров, то >будем думать что это похоже на правду. >Балуясь в тестовых целях с сертификатами, выписывая их самостоятельно >и подписывая их своим собстенным сертификатом, прикидываясь >крутым CA :), я совсем не нашел там никаких упоминаний про IP-адрес, >только доменное имя. >Видимо я не все в этой области знаю... :( Есть ссылочка, чтобы >прочитать про это подробнее? Полез я из любопытства во всякие разные доки, и, к собственному удивлению, обнаружил, что сертификаты *действительно* цепляются на имя домена. Надо отметить, что всё это создаёт некие любопытные возможности для рукастых и не слишком щепетливых людей... Ну да я не о том. Вынужден извиниться за свое предыдущее сообщеньице. Неправду написал по незнанию. Рекомендую некую незатейливую и достаточно краткую статейку: http://www.openna.com/documentations/articles/apache/part7.php Вследствие сих открытий возникает у меня такой вопрос: а зачем вообще Ваш знакомый начал спрашивать чего-то про сертификат у своего провайдера? Если сервачок в достаточной степени подконтролен (на уровне администрирования Apache или чего там установлено), можно (как получается) все эти SSL-дела провернуть тихо и без лишних посредников. Ну а если господа провайдеры решили сыграть на неграмотности оного знакомого, которую я чуть было не взялся подтверждать ;(, то самое время таким господам дать в репу.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "Где можно взять откомпилированный mod_ssl и OpenSSL ?"
Сообщение от SinnerMan on 10-Июл-03, 16:45  (MSK)
Сабж! Дайте ктонить плиз. Ломает компилять -- я под Win32.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "Странный вопрос по поводу SSL"
Сообщение от kakadu on 11-Июл-03, 09:08  (MSK)
Поправьте, если я не прав, вариант работы HTTPS: соединение устанавливается на конкретный ИП порт 443, клиент и сервер обмениваются необходимыми ключами, устанавливается SSL соединение, а вот только тут начинается обмен данными (о домене, о сайте ...) также работает SMTPS, POP3S ... отличается только STARTTLS которое работает по 25 порту, но тут именно доработка протокола SMTP, введена команда STARTTLS, для HTTP на сколько я знаю такого нет. Таким образом, если на одном ИП висит несколько сайтов, то при HTTPS ключ будет браться только от одного сайта (а точнее у того который первый в списке) и если приятелю нужен HTTPS со своим ключем то ему и нужен свой ИП.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "Странный вопрос по поводу SSL"
	Сообщение от chegevara on 11-Июл-03, 18:40  (MSK)
	насколько я понимаю к каждому IP адресу должен быть привязан СВОЙ сертефикат, т.е. каждый виртуальный хост на сервере, которому соответствует свой айпи адрес долджен иметь свой сертефикат другой вопрос кто поверит серетефикатам подписанным вашим "другом"
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "Странный вопрос по поводу SSL"
	Сообщение от kakadu on 30-Июл-03, 13:03  (MSK)
	>насколько я понимаю к каждому IP адресу должен быть привязан СВОЙ сертефикат, Не СВОЙ сертификат а только ОДИН сертификат, сертификат не привязывается к IP он привязывается к имени хоста, но одновременно на одном IP для какого либо из сервисов должен быть только один сертификат. Один для HTTPS, один для POP3S ... причем сертификаты для разных сервисов могут быть разными. Не может быть такого чтобы на одном IP было два разных сертификата для HTTPS сервиса.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "Странный вопрос по поводу SSL"
Сообщение от stricty on 16-Июл-03, 10:27  (MSK)
<a href="http://strict.spb.ru/ssl.html">http://strict.spb.ru/ssl.html</a>
	Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "Странный вопрос по поводу SSL"
Сообщение от poige on 31-Июл-03, 11:17  (MSK)
>Подтвердите, пожалуйста, или опровергните этот текст. >Один знакомый в штатах арендует сервер host.domain с адресом 1.2.3.4. На этом >IP 5.6.7.8, потому как VeriSign не выдает сертификаты для name-based серверов > а только для IP-based. Я в легком ступоре поскольку не Тут дело не "с той стороны рассматривается". Просто HTTPS не "виртуализируется":                 http://www.modssl.org/docs/2.5/ssl_faq.html#vhosts >понимаю какое отношение имеет сертификат для сайта к тому как он >хостится? Просто такое чувство что с него просто сдирают деньги. Или >это все-таки я чего-то не понимаю? /poige -- http://www.i.morning.ru/~poige/
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	12. "Странный вопрос по поводу SSL"
	Сообщение от pavel on 01-Авг-03, 03:28  (MSK)
	Предположим, а апач с name based hosting.Мне  приваливает запрос от автора флейма https://site1.com Одновременно с этим приваливает запрос на https://site2.com Сертификат должен совпадать с СN на которое он выписан. Это значит, что сессия не может начаться, потому что невозможно отделить один запрос от другого-непонятно, до включения encryption узнать какой сертификат сервера/СN использовать. Сам в свое время жестоко накололся.Так что - один ip - один сервер. А насчет имен-адресов, существуют реализации DNSsec.Кроме этого-как раз для этого и существует механизм СА,чтобы хакер не получил заверенный сертификат M$ ,пригодный для подписи чего-либо...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.