G'day everyone :)
Y'a un truc que je pige pas, je lis partout que pour avoir plusieurs sites en https avec une seule IP, il faut avoir apache > 2.2.12 et openSSL 0.9.8j
Seulement, j'ai : # apache2 -v Server version: Apache/2.2.9 (Debian) Server built: Feb 5 2012 21:06:22
donc, apache 2.2.9...
et : # openssl version OpenSSL 0.9.8g 19 Oct 2007
Donc là, je dois dire que je comprends pas. ça fait genre 2 ans que ça marche, j'ai deux sous-domaines qui sont assez souvent utilisés (un webftp et phpmyadmin), et ça marche très bien (une fois qu'on a accepté l'exception de sécurité)
Comprenez-vous ?
Merci beaucoup,
Gaël
On 20/02/2013 16:30, Gaël wrote:
G'day everyone :)
Y'a un truc que je pige pas, je lis partout que pour avoir plusieurs sites en https avec une seule IP, il faut avoir apache > 2.2.12 et openSSL 0.9.8j
Seulement, j'ai : # apache2 -v Server version: Apache/2.2.9 (Debian) Server built: Feb 5 2012 21:06:22
donc, apache 2.2.9...
et : # openssl version OpenSSL 0.9.8g 19 Oct 2007
Donc là, je dois dire que je comprends pas. ça fait genre 2 ans que ça marche, j'ai deux sous-domaines qui sont assez souvent utilisés (un webftp et phpmyadmin), et ça marche très bien (une fois qu'on a accepté l'exception de sécurité)
Hello,
Un patch debian backporté ?
Salut,
Bah dans le sources.list j'ai lenny/updates et lenny/volatile... Du coup j'avoue que je suis étonné de voir "Server built: Feb 5 2012 21:06:22", je ne comprends pas.
merci, Gaël
Le 20 février 2013 16:39, Laurent CARON lcaron@unix-scripts.info a écrit :
On 20/02/2013 16:30, Gaël wrote:
G'day everyone :)
Y'a un truc que je pige pas, je lis partout que pour avoir plusieurs sites en https avec une seule IP, il faut avoir apache > 2.2.12 et openSSL 0.9.8j
Seulement, j'ai : # apache2 -v Server version: Apache/2.2.9 (Debian) Server built: Feb 5 2012 21:06:22
donc, apache 2.2.9...
et : # openssl version OpenSSL 0.9.8g 19 Oct 2007
Donc là, je dois dire que je comprends pas. ça fait genre 2 ans que ça marche, j'ai deux sous-domaines qui sont assez souvent utilisés (un webftp et phpmyadmin), et ça marche très bien (une fois qu'on a accepté l'exception de sécurité)
Hello,
Un patch debian backporté ?
______________________________**_________________ Liste de diffusion du FRsAG http://www.frsag.org/
Le Wed, Feb 20, 2013 at 04:30:32PM +0100, Gaël [gagou9@gmail.com] a écrit:
Donc là, je dois dire que je comprends pas. ça fait genre 2 ans que ça marche, j'ai deux sous-domaines qui sont assez souvent utilisés (un webftp et phpmyadmin), et ça marche très bien (une fois qu'on a accepté l'exception de sécurité)
Et le même certificat pour les 2 vhosts ?
Tout à fait ! Auto-signé.
Le 20 février 2013 16:47, Dominique Rousseau d.rousseau@nnx.com a écrit :
Le Wed, Feb 20, 2013 at 04:30:32PM +0100, Gaël [gagou9@gmail.com] a écrit:
Donc là, je dois dire que je comprends pas. ça fait genre 2 ans que ça marche, j'ai deux sous-domaines qui sont assez souvent utilisés (un webftp et phpmyadmin), et ça marche très bien (une fois qu'on a accepté l'exception de sécurité)
Et le même certificat pour les 2 vhosts ?
-- Dominique Rousseau Neuronnexion, Prestataire Internet & Intranet 21 rue Frédéric Petit - 80000 Amiens tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
c'est un certificat wildcard…?
-- Guillaume Pancak
Le mercredi 20 février 2013 à 16:48, Gaël a écrit :
Tout à fait ! Auto-signé.
Le 20 février 2013 16:47, Dominique Rousseau <d.rousseau@nnx.com (mailto:d.rousseau@nnx.com)> a écrit :
Le Wed, Feb 20, 2013 at 04:30:32PM +0100, Gaël [gagou9@gmail.com (mailto:gagou9@gmail.com)] a écrit:
Donc là, je dois dire que je comprends pas. ça fait genre 2 ans que ça marche, j'ai deux sous-domaines qui sont assez souvent utilisés (un webftp et phpmyadmin), et ça marche très bien (une fois qu'on a accepté l'exception de sécurité)
Et le même certificat pour les 2 vhosts ?
-- Dominique Rousseau Neuronnexion, Prestataire Internet & Intranet 21 rue Frédéric Petit - 80000 Amiens tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
La réponse a été donnée ici (j'ai corrigé la faute) :
Est-ce le même certificat pour les 2 vhosts ?
Tout à fait !
C'est un même certificat pour tous les vhosts. (le fait qu'il soit autosigné ou pas ne change absolument rien)
Lors d'une connexion sur le port https, apache présente le certificat qu'il va trouver dans le premier vhost. le client l'accepte, puis demande le HTTP_HOST souhaité. comme c'est le même certificat pour les 2 vhosts, apache ne se pose pas de questions et distribue le bon site avec le bon certificat (c'est le même, donc pas besoin de renégociations).
SNI n'intervient même pas dans ce processus.
Si tu avais 2 certif SSL différends, ça ne fonctionnerait pas (il faut les versions que tu susmentionné).
Pierre.
Le 20/02/2013 16:48, Gaël a écrit :
Tout à fait ! Auto-signé.
Le 20 février 2013 16:47, Dominique Rousseau <d.rousseau@nnx.com mailto:d.rousseau@nnx.com> a écrit :
Le Wed, Feb 20, 2013 at 04:30:32PM +0100, Gaël [gagou9@gmail.com <mailto:gagou9@gmail.com>] a écrit: > Donc là, je dois dire que je comprends pas. > ça fait genre 2 ans que ça marche, j'ai deux sous-domaines qui sont assez > souvent utilisés (un webftp et phpmyadmin), et ça marche très bien (une > fois qu'on a accepté l'exception de sécurité) Et le même certificat pour les 2 vhosts ? -- Dominique Rousseau Neuronnexion, Prestataire Internet & Intranet 21 rue Frédéric Petit - 80000 Amiens tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
OKkay !!
Merci beaucoup pour ces clarifications !
Bonne soirée à tous !
Gaël
Le 20 février 2013 20:39, Pierre `Sn4kY` DOLIDON sn4ky@sn4ky.net a écrit :
La réponse a été donnée ici (j'ai corrigé la faute) :
Est-ce le même certificat pour les 2 vhosts ?
Tout à fait !
C'est un même certificat pour tous les vhosts. (le fait qu'il soit autosigné ou pas ne change absolument rien)
Lors d'une connexion sur le port https, apache présente le certificat qu'il va trouver dans le premier vhost. le client l'accepte, puis demande le HTTP_HOST souhaité. comme c'est le même certificat pour les 2 vhosts, apache ne se pose pas de questions et distribue le bon site avec le bon certificat (c'est le même, donc pas besoin de renégociations).
SNI n'intervient même pas dans ce processus.
Si tu avais 2 certif SSL différends, ça ne fonctionnerait pas (il faut les versions que tu susmentionné).
Pierre.
Le 20/02/2013 16:48, Gaël a écrit :
Tout à fait ! Auto-signé.
Le 20 février 2013 16:47, Dominique Rousseau d.rousseau@nnx.com a écrit :
Le Wed, Feb 20, 2013 at 04:30:32PM +0100, Gaël [gagou9@gmail.com] a écrit:
Donc là, je dois dire que je comprends pas. ça fait genre 2 ans que ça marche, j'ai deux sous-domaines qui sont
assez
souvent utilisés (un webftp et phpmyadmin), et ça marche très bien (une fois qu'on a accepté l'exception de sécurité)
Et le même certificat pour les 2 vhosts ?
-- Dominique Rousseau Neuronnexion, Prestataire Internet & Intranet 21 rue Frédéric Petit - 80000 Amiens tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAGhttp://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
2013/2/20 Gaël gagou9@gmail.com:
G'day everyone :)
Donc là, je dois dire que je comprends pas. ça fait genre 2 ans que ça marche, j'ai deux sous-domaines qui sont assez souvent utilisés (un webftp et phpmyadmin), et ça marche très bien (une fois qu'on a accepté l'exception de sécurité)
Bonjour,
La réponse est dans la question: "(une fois qu'on a accepté l'exception de sécurité)".
Le but est de ne pas avoir d'exception de sécurité. Pour cela, SNI (Server Name Indication) est nécessaire pour guider Apache vers le bon vhost pour savoir quel certificat il va présenter, avant justement d'avoir établi un canal SSL sécurisé.
On peut aussi faire du DH only, ce qui fait une sorte de connexion SSL sans présentation de certificat, ce qui protège la session TCP si l'attaquant ne peut pas faire du MITM.
Cordialement,
Bonjour,
Le but est de ne pas avoir d'exception de sécurité. Pour cela, SNI
(Server Name Indication) est nécessaire pour guider Apache vers le bon vhost pour savoir quel certificat il va présenter, avant justement d'avoir établi un canal SSL sécurisé.
Oui oui, SNI, c'est bien ça. Sauf qu'il est dit partout qu'il faut avoir apache 2.2.12, et que j'ai 2.2.9 et que ça marche ! Alors oui, je me pose la question inutile "pourquoi ça marche alors que ça ne devrait pas ?", mais la réponse devrait être intéressante !
Merci à vous,
Gaël
On peut aussi faire du DH only, ce qui fait une sorte de connexion SSL sans présentation de certificat, ce qui protège la session TCP si l'attaquant ne peut pas faire du MITM.
Cordialement,
Aurélien Guillaume
- By all means break the rules, and break them beautifully,
deliberately and well. That is one of the ends for which they exist. -- Robert Bringhurst _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Le 20/02/13 16:54, Gaël a écrit :
Oui oui, SNI, c'est bien ça. Sauf qu'il est dit partout qu'il faut avoir apache 2.2.12, et que j'ai 2.2.9 et que ça marche !
Si tu es en "auto-signé", c'est que "ca ne marche pas" mais que ca ne te pose pas de probleme... (du coup tu crois que ca marche)
Tu me suis? :-)
Hugues.
-
Aurélien -
Dominique Rousseau -
Gaël -
Guillaume Pancak -
Hugues Brunel -
Laurent CARON -
Pierre `Sn4kY` DOLIDON