Lighttpd, ssl и несколько доменов?

Question

[mihavxc]

Прошу помочь решить одну проблему.



Есть веб-сервер под управлением lighttpd и несколько сайтов, которые на нем крутятся(ip только один).

Появилась задача сделать https только для одного из этих доменов(domain1.com).



Воспользовался бесплатным сертификатом от startssl и все прекрасно работает. Но, если зайти по https на любой другой из доменов, то получим ошибку ssl_error_unrecognized_name_alert и в логах

2013-01-13 12:11:29: (network.c.96) SSL: null SSL_CTX for TLS server name domain2.ru<br>
2013-01-13 12:11:29: (connections.c.299) SSL: 1 error:1408A0E2:SSL routines:SSL3_GET_CLIENT_HELLO:clienthello tlsext<br>

Как можно включить SSL только для одного домена, не трогая остальные домены?

В конфиге lighttpd указываю:

$SERVER["socket"] == "domain1.ru:443" {<br>
               ssl.engine = "enable"<br>
               ssl.ca-file = "/etc/lighttpd/ssl.cert/ca-certs.crt"<br>
               ssl.pemfile = "/etc/lighttpd/ssl.cert/domain1.pem"<br>
               server.document-root = "/var/www/domain1.ru/htdocs"<br>
               server.name = "domain1.ru"<br>
}<br>

Answer 1

[lubezniy]

Увы, никак. Сначала устанавливается соединение по IP и идёт обмен сертификатами, и лишь потом передаётся запрос с полем Host.

Comments

[mihavxc]

Пляски с редиректами с https на http для других доменов на уровне лайти тоже не помогут, как я понимаю?

Эх, как же не хочется делать сертификаты для других доменов:)

[lubezniy]

Мало сделать сертификат для другого домена. На каждый домен, который требуется обеспечить по SSL, нужен свой отдельный IP-адрес. Можно, правда, если устроит, повесить виртуальные серверы для разных доменов на разные TCP-порты.

[VBart]

На каждый домен, который требуется обеспечить по SSL, нужен свой отдельный IP-адрес.
Вы не правы. Есть SNI, и он давно поддерживается всеми современными браузерами и серверами.

Answer 2

[la0]

Смотрите. Есть такая штука, называется SNI (server name indication) поддерживается всеми современными ОС (от браузера зависит, но не сильно). WinXP пролетает.
Если не поддерживается, поведение не предсказуемо (напр. nginx выдает вторую пару ключей для установления туннеля, даже если их больше двух).

Comments

[lubezniy]

Спасибо. Ранее про это не слышал.

[VBart]

WinXP не пролетает. Надо уточнить, что пролетают только древние браузеры в XP.
Про непредсказуемость и вторую пару — полный бред. =) Если SNI не поддерживается, то запрос будет обработан в рамках сервера по-умолчанию для данного адреса-порта.

[la0]

сервера по-умолчанию

Актуальная версия nginx действительно, берёт _сервер_ по-умолчанию. А вот сертификат скармливает почему-то всегда второй.

[VBart]

la0
Если вы такое наблюдаете, то стоит сообщить о баге, заполнив тикет и приведя конфигурацию, на которой это воспроизводится. Его исправят.

Все версии nginx брали сервер по-умолчанию и сертификат указанный в нём. Это поведение не менялось со времен появления SSL-модуля.

Answer 3

[VBart]

Ответ — не заходить на другие домены по HTTPS. Ошибка все равно будет, вне зависимости, используется ли SNI или нет, если у вас нет сертификата на запрашиваемый домен.

Лучшее, что вы можете сделать, это редиректить пользователей на http, если те согласились принять несоответствующий сертификат. Как это сделать в лайти я не знаю. В nginx это делается просто. Подробности: nginx.org/ru/docs/http/configuring_https_servers.html

Comments

[lubezniy]

И тем самым сбивать до нуля защищённость канала?

[VBart]

Человек хочет https только для одного домена. Что не так? =)
Не говоря уж о том, что невалидный сертификат не сбивает защищенность до нуля. Защиты от MITM не будет, да, а от eavesdropping вполне.

[VBart]

А, кажется я неправильно понял, если ваш комментарий про редирект, то да, защиты не будет. Но если человек не хочет, чтобы на сайт ходили по https, то и не надо. Редирект нужен для снижения нагрузки на сервер, если защита всё равно не нужна, и также, чтобы не распросранялись ссылки с https, поскольку сообщение браузера о невалидном сертификате может отпугнуть многих пользователей, перешедших по таким ссылкам.