Page 1 of 1
Проблема с SSL
Posted: Thu Nov 19, 2015 3:32 pm
by Alex-a
В браузере explorer 8 показывает SSL сертификат от другого домена. В других браузерах такой проблемы нет. Куда смотреть.
Вчера здесь описал подробно, мой пост удалили вместе с пользователем. Не понимаю за что?
Версия:0.9.8 (x86_64)
Релиз:15
Re: Проблема с SSL
Posted: Thu Nov 19, 2015 3:43 pm
by imperio
Был восстановлен бекап, поэтому некоторые темы и посты удалились.
Re: Проблема с SSL
Posted: Thu Nov 19, 2015 4:44 pm
by Alex-a
imperio wrote:Был восстановлен бекап, поэтому некоторые темы и посты удалились.
А что по первому вопросу?
былподобный вопрос
viewtopic.php?f=29&t=7248 но без ответа
Re: Проблема с SSL
Posted: Fri Nov 20, 2015 12:15 pm
by skurudo
Alex-a wrote:imperio wrote:Был восстановлен бекап, поэтому некоторые темы и посты удалились.
А что по первому вопросу?
А по первому вопросу был мой длинный ответ, который и помер в связи с событиями, которые описал
imperio
Re: Проблема с SSL
Posted: Fri Nov 20, 2015 12:20 pm
by skurudo
Alex-a wrote:В браузере explorer 8 показывает SSL сертификат от другого домена. В других браузерах такой проблемы нет.
Собака порылась в двух вещах - SNI и поддержка SNI старыми браузерами. Дело в том, что в старых браузерах типа IE8 и особенно в WIndows XP поддержка SNI может быть реализована немного нет. Тоже самое касается браузеров в старых версиях Android.
Server Name Indication (SNI) — расширение компьютерного протокола TLS, которое позволяет клиентам сообщать имя хоста, с которым он желает соединится, во время процесса рукопожатия. Это позволяет серверу предоставлять несколько сертификатов на одном IP-адресе и TCP-порту, и, следовательно, позволяет работать нескольким безопасным (HTTPS) сайтам (или другим сервисам поверх TLS) на одном IP-адресе без использования одного и тото же сертификат на всех сайтах. Это эквивалентно возможности основанного на имени виртуального хостинга из HTTP/1.1, но для HTTPS. Запрашиваемое имя хоста не шифруется, что позволяет злоумышленнику его перехватить.
Для практического использования SNI требуется, чтобы подавляющее большинство пользователей использовали браузеры с поддержкой этой функции. Пользователи, браузеры которых не поддерживают SNI, получат сертификат по умолчанию (зависит от реализации, обычно первый в списке), и, следовательно, ошибку сертификата, если сервер не оснащён wildcard сертификатом, и он не содержит требуемое клиентом имя сайта
Выхода здесь ровно два:
- подождать пока старые браузеры таки умрут
- не использовать SNI, а развесить домены с SSL по разным айпишникам
Re: Проблема с SSL
Posted: Fri Nov 20, 2015 4:47 pm
by Alex-a
Спасибо. Хочу попробовать с разными айпи для каждого домена. А ак это правильно сделать в весте на centos 6?
Re: Проблема с SSL
Posted: Fri Nov 20, 2015 4:57 pm
by imperio
Alex-a wrote:Спасибо. Хочу попробовать с разными айпи для каждого домена. А ак это правильно сделать в весте на centos 6?
Сначала добавляете ip в раздел IP и далее в настройках веб-домена выбираете нужный