SSL-Zertifikat stimmt nicht überein in IE 7+, OK in Firefox 3.6+

Question

Wir haben eine Website www.name1.domain.com, für die wir erfolgreich ein SSL-Zertifikat erstellt und implementiert haben. Wir fügten dann eine andere Seite hinzu, www.name2.domain.com, und sehen etwas seltsames Verhalten in IE7 und IE8 (Überraschung!).

Grundsätzlich meldet IE7,8 eine Abweichung des Hostnamens, wenn wir zu https://www.name2.domain.com/ gehen. Wenn ich dieses Zertifikat in IE für diese Domäne hinzufüge und anzeigen, ist der Hostname falsch, gehört aber zum älteren Hostnamen, d. H. Www.name1.domain.com.

Firefox hat dieses Problem nicht und nimmt den korrekten Hostnamen www.name2.domain.com für die zweite Website ohne Problem auf.

Irgendwelche Ideen, warum IE misbehavin ist (außer für die frechen diejenigen (-:)

Dank

KM

Answer 1

Ihr Problem ist, dass Internet Explorer unter Windows XP (und wahrscheinlich auch andere Software) nicht SNI-fähig ist.

Ich bin gerade in das gleiche Problem gerannt - im Grunde Firefox und Chrome sind in Ordnung und erhalten das richtige Zertifikat, aber Internet Explorer nicht.Dann habe ich sah es ein wenig und sah this auf Wikipedia unter anderem:

Browser mit Unterstützung für TLS Server Name Indication [7] Internet Explorer 7 oder höher, Windows Vista oder höher. Funktioniert nicht auf Windows XP, auch Internet Explorer 8.

Also, Apache/openSSL Combo ist SNI-fähig und kann dies tun, aber Windows XP ist es nicht.

Meine Lösung ist, dass ich die primäre Subdomain zuerst in der VirtualHost-Konfiguration und die sekundäre weniger setzen. Zumindest gibt es weniger Erklärung für Kunden, warum dies auftaucht. Ich weiß nicht, ob es für Sie funktionieren würde.

Answer 2

Firefox unterstützt SSL über den gleichen Port, 443 (mit dem gleichen läuft?! IP) zu zwei virtuellen Hosts (in Apache), aber IE7 nicht.

http://www.eggheadcafe.com/software/aspnet/36069240/sni-support.aspx

====

http://httpd.apache.org/docs/2.0/ssl/ssl_faq.html#vhosts2

Warum ist es nicht möglich Namensbasierte Virtual Hosting zu verwenden, um verschiedene SSL virtuelle Hosts zu identifizieren? Namenbasiertes virtuelles Hosting ist eine sehr beliebte Methode zur Identifizierung verschiedener virtueller Hosts. Damit können Sie für viele verschiedene Standorte die gleiche IP-Adresse und die gleiche Portnummer verwenden. Wenn Benutzer zu SSL wechseln, ist es naheliegend anzunehmen, dass die gleiche Methode verwendet werden kann, um viele verschiedene virtuelle SSL-Hosts auf demselben Server zu haben.

Es ist eher ein Schock zu erfahren, dass es unmöglich ist.

Der Grund ist, dass das SSL-Protokoll eine separate Schicht ist, die das HTTP-Protokoll kapselt. Die SSL-Sitzung ist also eine separate Transaktion, die vor Beginn der HTTP-Sitzung stattfindet. Der Server erhält eine SSL-Anfrage an IP-Adresse X und Port Y (normalerweise 443). Da die SSL-Anforderung kein Host: -Feld enthält, kann der Server nicht entscheiden, welcher SSL-virtuelle Host verwendet werden soll. In der Regel wird nur die erste gefunden, die mit der angegebenen Port- und IP-Adresse übereinstimmt.

Sie können natürlich namensbasiertes virtuelles Hosting verwenden, um viele virtuelle Hosts ohne SSL zu identifizieren (z. B. alle an Port 80) und dann einen einzelnen virtuellen SSL-Host (an Port 443). Wenn Sie dies tun, müssen Sie jedoch sicherstellen, dass die Nicht-SSL-Portnummer in die NameVirtualHost-Direktive eingefügt wird, z.

Namevirtualhost 192.168.1.1:80 Andere Abhilfe Lösungen gehören:

Verwendung separater IP-Adressen für verschiedene SSL-Hosts. Verwenden unterschiedlicher Portnummern für verschiedene SSL-Hosts.