SNI: Unterschied zwischen den Versionen

Aus schokokeks.org Wiki
Zur Navigation springen Zur Suche springen
(Die Seite wurde neu angelegt: = Server Name Indication = == Problem: Mehrere SSL-Zertifikate auf einer IP == Das SSL-Protokoll sieht klassischerweise nur vor, ein SSL-Zertifikat pro IP auszustelle...)
 
Zeile 9: Zeile 9:
== Unterstützung Serverseitig ==
== Unterstützung Serverseitig ==


OpenSSL unterstützt SNI seit kurzem in der Version 0.9.8f. GnuTLS unterstützt SNI schon deutlich länger, seit 0.5.10. Für Apache ist Momentan noch ein [Patch http://issues.apache.org/bugzilla/show_bug.cgi?id=34607] notwendig. Für lighttpd ist SNI ebenfalls [http://trac.lighttpd.net/trac/ticket/386 in Arbeit].
OpenSSL unterstützt SNI seit kurzem in der Version 0.9.8f. GnuTLS unterstützt SNI schon deutlich länger, seit 0.5.10. Für Apache ist Momentan noch ein [http://issues.apache.org/bugzilla/show_bug.cgi?id=34607 Patch] notwendig. Für lighttpd ist SNI ebenfalls [http://trac.lighttpd.net/trac/ticket/386 in Arbeit].


== Unterstützung Browser ==
== Unterstützung Browser ==

Version vom 3. April 2008, 14:10 Uhr

Server Name Indication

Problem: Mehrere SSL-Zertifikate auf einer IP

Das SSL-Protokoll sieht klassischerweise nur vor, ein SSL-Zertifikat pro IP auszustellen. Das bedeutet, wenn mehrere virtuelle Hosts eine IP nutzen, können diese kein korrektes Zertifikat ausliefern.

Hierfür gibt es eine recht neue Lösung: Server Name Indication (beschrieben in RFC 3546) ermöglicht, pro virtuellen Host ein Zertifikat zu vergeben.

Unterstützung Serverseitig

OpenSSL unterstützt SNI seit kurzem in der Version 0.9.8f. GnuTLS unterstützt SNI schon deutlich länger, seit 0.5.10. Für Apache ist Momentan noch ein Patch notwendig. Für lighttpd ist SNI ebenfalls in Arbeit.

Unterstützung Browser

Mozilla Firefox und Opera unterstützen SNI schon länger problemlos, Internet Explorer erst ab Version 7. Ebenso unterstützen fast alle Mozilla-basierenden Browser SNI (bspw. Epiphany). Konqueror unterstützt SNI bislang überhaupt nicht, es wird vermutlich mit KDE 4.1 kommen. Ebenso unterstützt Safari bislang kein SNI.

Weitere Software

Theoretisch lässt sich SNI auch für andere Systeme außer http, die virtuelle Hosts nutzen, einsetzen, etwa Jabber/XMPP. Über den Stand der Unterstützung ist uns noch nichts bekannt.

Links/Hintergründe