bloggers bloggers

Marco Napolitano
Messaggi: 68
Stelle: 0
Data: 15/11/17
Jader Jed Francia
Messaggi: 50
Stelle: 0
Data: 22/09/17
Ezio Lombardi
Messaggi: 9
Stelle: 0
Data: 23/06/17
Chiara Mambretti
Messaggi: 25
Stelle: 0
Data: 27/02/17
Serena Traversi
Messaggi: 3
Stelle: 0
Data: 21/07/16
Francesco Falanga
Messaggi: 8
Stelle: 0
Data: 14/06/16
Antonio Musarra
Messaggi: 2
Stelle: 0
Data: 18/11/13
Simone Celli Marchi
Messaggi: 6
Stelle: 0
Data: 09/07/13
marcello marangio
Messaggi: 4
Stelle: 0
Data: 05/07/13
Marco Mancini
Messaggi: 1
Stelle: 0
Data: 05/06/13
Indietro

SNI: Virtualhost su SSL con lo stesso IP

Ci sono cose che sai da sempre e che ormai dai per assodato, come ad esempio che non è possibile configurare in un webserver più virtual host con diversi certificati SSL utilizzando un solo indirizzo IP.

Questo perché il browser, in una connessione https, invia il nome del virtualhost da contattare dopo che è stata instaurata la connessione SSL. Perciò il webserver durante l'handshake non può far altro che utilizzare il certificato del primo virtualhost configurato su SSL, indipendentemente dall'hostname richiesto.

Tutto questo fino a quando, chiacchierando con un tuo amico del più e del meno, viene buttata li una frase del tipo "Mah no, adesso si possono avere più virtualhost ssl sullo stesso IP....."

L'amico non sapeva come, ma sapeva solo che si poteva fare.

Il come però è per fortuna molto semplice: funziona da solo, tramite l'estensione SNI (Server Name Indication) di TLS. Basta solo avere un webserver e un web browser recente.

L'estensione SNI permette al browser di inviare l'hostname in chiaro durante l'handshake. In questo modo il webserver può scegliere il certificato SSL del virtual host corretto.

Questo ci permetterrà di risparmiare tanti IP che ora come ora, in attesa della diffusione di massa di IPv6, valgono più dell'oro.

L'unico contro di questa soluzione è che con i vecchi browser (ad esempio IE6) questa estensione non funziona, perciò verrà mostrato il classico errore di certificato non valido.

Per la cronaca, un elenco dei server e browser che supportano questa funzionalità la potete trovare qui:

http://en.wikipedia.org/wiki/Server_Name_Indication#Support

Simone

Precedente
Commenti
Nessun commento. Vuoi essere il primo.