アカウント名:
パスワード:
事務所にあるサーバーはSSL証明書持ってるけど、そのサーバーは5つのドメイン名を持ってる。SSL証明書は特定のドメイン名でしか使ってないので問題ないけど別のドメイン名でも反応しちゃうので、このサーバーだけでもドメイン名の一致は20%ってことになっちゃうな。そういうサーバーはかなり多いんで無かろうかと想像。
社会工学的に、#1788815 [srad.jp]のようなことがよく起きてみんなが馴れてしまうのがSSLという仕組みにとって良くない、というところかなあ。
全然詳しくないのですが、「逆引き出来ること」がSSL証明書の要件だと思っていました。仮想ホストで複数ドメインを提供していても逆引き出来るのはそのうちの1ドメインなので、
>別のドメイン名でも反応しちゃう
っていう設定をすること自体が間違いではないのでしょうか。違うのかな。
IPアドレスの逆引きは必要ありません。SSL証明書にはホスト名が書き込まれており、クライアントは自分が接続しようとしているホスト名と証明書のホスト名が一致するか調べています。
Wikipedia日本語版のSSLのページ [wikipedia.org] には、そのへんもさらっと書いているつもりなので、興味があればご覧ください(「課題」のあたり)。
「逆引き出来ること」がSSL証明書の要件だと思っていました。
違うんじゃない?SNIを使った名前ベースのSSL(TLS) [zdnet.com]ってのもありますよ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond
エイリアスも調べてるんじゃないのかな (スコア:2, すばらしい洞察)
事務所にあるサーバーはSSL証明書持ってるけど、そのサーバーは
5つのドメイン名を持ってる。SSL証明書は特定のドメイン名でしか使ってない
ので問題ないけど別のドメイン名でも反応しちゃうので、このサーバーだけでも
ドメイン名の一致は20%ってことになっちゃうな。
そういうサーバーはかなり多いんで無かろうかと想像。
Re:エイリアスも調べてるんじゃないのかな (スコア:1, 参考になる)
1台のマシン(IPアドレス)に何百っていう(ネームベースの)
ヴァーチャルドメインなんて全然普通。
そいつで特定のCN用のHTTPSサーバ (顧客向けの管理画面とか)が
動いていれば、何百というドメイン名がCNに一致しないように
みえる。それ自体は何の異常ではないと思う。
BHで発表するとのことだけど、この状況を悪用するテクニックが
見つかったという話なんだろうか?
Re:エイリアスも調べてるんじゃないのかな (スコア:1)
社会工学的に、#1788815 [srad.jp]のようなことがよく起きてみんなが馴れてしまうのがSSLという仕組みにとって良くない、というところかなあ。
Re: (スコア:0)
全然詳しくないのですが、「逆引き出来ること」がSSL証明書の要件だと思っていました。
仮想ホストで複数ドメインを提供していても逆引き出来るのはそのうちの1ドメインなので、
>別のドメイン名でも反応しちゃう
っていう設定をすること自体が間違いではないのでしょうか。
違うのかな。
Re:エイリアスも調べてるんじゃないのかな (スコア:2, 参考になる)
IPアドレスの逆引きは必要ありません。SSL証明書にはホスト名が書き込まれており、クライアントは自分が接続しようとしているホスト名と証明書のホスト名が一致するか調べています。
Wikipedia日本語版のSSLのページ [wikipedia.org] には、そのへんもさらっと書いているつもりなので、興味があればご覧ください(「課題」のあたり)。
Re:エイリアスも調べてるんじゃないのかな (スコア:1)
「逆引き出来ること」がSSL証明書の要件だと思っていました。
違うんじゃない?SNIを使った名前ベースのSSL(TLS) [zdnet.com]ってのもありますよ。
Re: (スコア:0)
俺は詳しくないんで答えれませんが。
Re: (スコア:0)