ich habe unter meiner Hauptdomain ein paar Subdomains welche ich teilweise über https anspreche. Das einrichten und konfigurieren war bisher kein Problem, dachte ich.
Meine Zertifikate habe ich bei CAcert.org ‚unterschreiben‘ lassen.
Wenn ich nun auf die Subdomains zugreife, mein Standardbrowser ist Opera, wird mir auch das richtige Zertifikat für die jeweilige Subdomain angezeigt. Ebenso beim Firefox. Da ich IE außer für Intranetseiten der Firma privat nie nutze, ist mir folgendes Fehlverhalten erst kürzlich bei Verwendung eines Mobilbrowsers aufgefallen:
Wenn ich mir das Zertifikat anzeigen lassen (IE, versch. Mobilbrowser) wird mir immer das falsche angezeigt.
Ich glaube es war ‚damals‘ die erste Subdomain, welche ein SSL Zertifikat verpasst bekam.
Jetzt meine Frage, mit Apache 2.2 und OpenSSL 0.9.8f (ich habe o) sollte eine Multiverwaltung von SSL Zertifikaten möglich sein.
Warum zeigt er mir dann unter verschiedensten Browsern das falsche an?
Fehlkonfiguration meines Indianers oder können die Browser etwas nicht richtig.
Jetzt meine Frage, mit Apache 2.2 und OpenSSL 0.9.8f (ich habe
o) sollte eine Multiverwaltung von SSL Zertifikaten möglich
sein.
Warum zeigt er mir dann unter verschiedensten Browsern das
falsche an?
Fehlkonfiguration meines Indianers oder können die Browser
etwas nicht richtig.
Mobil und InternetExplorer … warum redest du also von verschiedenen Browsern , wenn doch FireFox und Opera kein prob machen. Was sagen den Mobile FireFox und Operas dazu . Ich hatte noch nie ein Mobielen IE sonst würd ichs glatt ausprobieren.
Naja es betrifft verschiedenste Browser.
Evtl. habe ich mich undeutlich ausgedrückt, entschuldige.
Aufgefallen ist es mir bei einem mobilen IE, welcher das Zertifikat anmängelte und beim anzeigen eben eins anzeigte von einer Subdomain.
Danach habe ich dieses Verhalten mit meinen Desktopbrowsern überprüft.
Opera und Firefox zeigen das richtige an: DN=Subdomainname (Zertifikatsname)
IE und Netscape zeigen das falsche an. Das DN!=Subdomainname.
Jetzt eben meine Frage.
Spinnen die Browser rum, kann beim IE durch aus mal vorkommen, oder ist meine SSL Konfiguration schief?
ps. beim IE bzw. Netscape ist es egal welche Subdomain ich öffne, er zeigt immer das falsche an.
Ich hoffe ich konnte es jetzt ein wenig rüber bringen.
Ein Zertifikat mit mehreren SubjectAltNames oder mehrere
Zertifikate auf unterschiedlichen IPs oder über SNI?
Eigentlich sollte der Indianer das über SNI machen, bringt er ja mit.
Verstehe ich Dich richtig, dass eine Sicherheitswarnung wegen
Ungleichheit von Hostnamen und Servernamen im Zertifikat
ausgegeben wird?
Richtig.
Ich bekomme die Info wenn ich mit dem IE, Netscape oder verschiedenen Mobilebrowsern die Seite aufrufe, das dieses nicht mit dem Servernamen übereinstimmt. Was ja auch richtig ist, da er das falsche Zertifikat zieht. Und das bei jeder Subdomain.
Ein Zertifikat mit mehreren SubjectAltNames oder mehrere
Zertifikate auf unterschiedlichen IPs oder über SNI?
Eigentlich sollte der Indianer das über SNI machen, bringt er
ja mit.
ältere Browser können das aber nicht. Da diese den Hostnamen nicht vor Aufbau der verschlüsselten Verbindung senden, bleibt dem Apachen nichts anderes übrig, als das erste Zertifikat zu nehmen, das er zur Hand hat.
das steht auch im CAcert-Wiki (etwas weiter oben) inklusive Link.
Das erste aus der Konfiguration.
Hmm, ich steh grad auf dem Schlauch.
Welcher Konfiguration? Da ich pro V-Host eigene Konfigs habe.
Debian? Da ist die Konfigurationsdatei quasi nur in mehrere Dateien aufgeteilt, um das ganze übersichtlicher/eleganter zu gestalten. Die einzelnen Dateien werden entsprechend des Dateinamens nacheinander eingelesen (bzw. der Name des symbolischen Links in /etc/apache2/sites-enabled).
das steht auch im CAcert-Wiki (etwas weiter oben) inklusive
Link.
Ach du … den Scrollbalken seh ich jetzt erst.
Sah aus wie eine Seite … sorry!
Debian? Da ist die Konfigurationsdatei quasi nur in mehrere
Dateien aufgeteilt, um das ganze übersichtlicher/eleganter zu
gestalten. Die einzelnen Dateien werden entsprechend des
Dateinamens nacheinander eingelesen (bzw. der Name des
symbolischen Links in /etc/apache2/sites-enabled).
Richtig. Du solltest Lotto spielen
Jud, sind wir also doch beim Alphabet.
Das Thema SNI fühlt sich alt an, dabei steckt es noch in den Kinderschuhen.
Ich wünsch dir ein schönes Wochenende und ein frohes Fest.
Gruß Tobias.
