[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: ssl einrichten



Am Donnerstag, 14. April 2005 18:57 schrieb Michelle Konzack:
> Am 2005-04-14 17:55:30, schrieb Evgeni -SargentD- Golov:
> > Wer hat denn wann von Dynamischen IPs gesprochen? Ich nicht. Und
> > der OP auch nicht.
> > Aber was sollte das für einen Unterschied machen, wenn eh nach dem
> > Host entschieden wird.
>
> "shttp" funktioniert IMMER IP-Based, und ein Cetrifikat hat eben
> nun mal die IP drin. Wenn Du nun auf einer dynamischen IP sitzt,
> ändert sich in der regel alle 24 Stunden Deine IP.

das ist ja nunmal totaler Quatsch.
Kein Zertifikat hat die IP als cn gespeichert sondern den FQDN Namen 
oder einen Wildcard FQDN.
Das Prinzip hinter https ist, das dein Server sich mittels privatem Key 
zu seinem Zertifkat ausweisen kann und damit eine gültige Signatur 
erzeugen kann, die der Client mittels Root-CA Zertifikat prüfen kann.
Dabei spielt die IP Adresse überhaupt keine Rolle.

Das einzige Problem ist, das vor dem eigentlichen http Call bereits die 
sichere Verbindung aufgebaut wird und daher nur die IP (und deren 
reverse lookup) bekannt ist. Wenn der Apache jetzt aber ein Wildcard 
Zertifikat verwendet und der Client einen FQDN, der dem Wildcard 
Zertifikat entspricht, anspricht, kann jede Subdomain, sofern das 
Zertifikat gültig ist, als sichere Verbindung angenommen werden.


> Wenn Du NameBased Zertifikate basteln könnetst, kann jeder den
> DomainName spoofen und vorgeben er könnte Du sein, was die
> Sicherheit von "shttp" untergraben würde

unfug.

> Am beste ist, wenn Du Dich mal in die RFCs einließt um zu
> verstehen wie "shttp" funktioniert.

vielleicht besser selbst mal nachlesen.

> Certifikate werden für die IP-Adresse und dem dazugehörigen
> DomainNamen ausgestellt.

unfug, es wird der FQDN als cn im Zertifikat gespeichert und nichts 
anderes. 

> Wenn die IP-Adresse wechsaelt, wird das Zertifikat ungültig.

grober unfug.

-- 
Markus Schulz



Reply to: