Pregunta ¿Es una buena idea activar SSLStrictSNIVHostCheck en el nivel del servidor?


¿Es una buena idea configurar Apache's? SSLStrictSNIVHostCheck on en el nivel del servidor? ¿Es una mejor idea configurarlo solo para un host virtual?

¿Cuáles son los pros y los contras de este entorno?


5
2018-06-06 19:04


origen


wiki.apache.org/httpd/… - Michael Hampton♦


Respuestas:


Depende de por qué está ejecutando un servidor seguro. Si está usando SNIV ​​para obtener múltiples hosts virtuales en una sola dirección IP, cada uno con un certificado diferente, ¿importa si alguien con un navegador que no admite SNIV ​​puede conectarse al primer sitio con el nombre incorrecto? Si lo hace, entonces debería activarlo. Si no lo hace, desactívelo.

Ver http://httpd.apache.org/docs/2.4/mod/mod_ssl.html#sslstrictsnivhostcheck 


3
2018-06-07 00:06



Ok, ¿qué sucede si solo tengo un host virtual con SSL y lo muevo como el primero y lo configuro? SSLStrictSNIVHostCheck off? ¿Funcionará correctamente con clientes SNI-conscientes y SNI-inconscientes? ¿Qué sucede si tengo dos Hosts virtuales con SSL y configuro a.com como primero y b.com como segundo y configuro? SSLStrictSNIVHostCheck off? ¿Los clientes no conscientes de SVN para b.com funcionan correctamente con el certificado para a.com? - Boris Šuška
La respuesta a todas estas preguntas se encuentra en el enlace provisto. Explica exactamente qué efecto tendrá la configuración en cada situación. Lo que no entiendo es cómo un bloque SSL podría ser visitado por un cliente SSL que esté no en SNI, ya que a ese cliente siempre le atenderá el bloque predeterminado, que es la razón de SNI en primer lugar. - SuperDuperApps