Re: ssl einrichten
Am Donnerstag, 14. April 2005 18:57 schrieb Michelle Konzack:
> Am 2005-04-14 17:55:30, schrieb Evgeni -SargentD- Golov:
> > Wer hat denn wann von Dynamischen IPs gesprochen? Ich nicht. Und
> > der OP auch nicht.
> > Aber was sollte das für einen Unterschied machen, wenn eh nach dem
> > Host entschieden wird.
>
> "shttp" funktioniert IMMER IP-Based, und ein Cetrifikat hat eben
> nun mal die IP drin. Wenn Du nun auf einer dynamischen IP sitzt,
> ändert sich in der regel alle 24 Stunden Deine IP.
das ist ja nunmal totaler Quatsch.
Kein Zertifikat hat die IP als cn gespeichert sondern den FQDN Namen
oder einen Wildcard FQDN.
Das Prinzip hinter https ist, das dein Server sich mittels privatem Key
zu seinem Zertifkat ausweisen kann und damit eine gültige Signatur
erzeugen kann, die der Client mittels Root-CA Zertifikat prüfen kann.
Dabei spielt die IP Adresse überhaupt keine Rolle.
Das einzige Problem ist, das vor dem eigentlichen http Call bereits die
sichere Verbindung aufgebaut wird und daher nur die IP (und deren
reverse lookup) bekannt ist. Wenn der Apache jetzt aber ein Wildcard
Zertifikat verwendet und der Client einen FQDN, der dem Wildcard
Zertifikat entspricht, anspricht, kann jede Subdomain, sofern das
Zertifikat gültig ist, als sichere Verbindung angenommen werden.
> Wenn Du NameBased Zertifikate basteln könnetst, kann jeder den
> DomainName spoofen und vorgeben er könnte Du sein, was die
> Sicherheit von "shttp" untergraben würde
unfug.
> Am beste ist, wenn Du Dich mal in die RFCs einließt um zu
> verstehen wie "shttp" funktioniert.
vielleicht besser selbst mal nachlesen.
> Certifikate werden für die IP-Adresse und dem dazugehörigen
> DomainNamen ausgestellt.
unfug, es wird der FQDN als cn im Zertifikat gespeichert und nichts
anderes.
> Wenn die IP-Adresse wechsaelt, wird das Zertifikat ungültig.
grober unfug.
--
Markus Schulz
Reply to: