Apache統合スレ 12 (HTTPServer以外も含む)

Apache統合スレ 12 (HTTPServer以外も含む) (703ﾚｽ)
上下前次1-新
抽出解除ﾚｽ栞

500(1): 495 2017/09/27(水)19:29 ID:??? AAS
>>499
レスありがとう。勉強になるわ
これも言うことは理解できる。その通りだと思う
俺が Apache の挙動を深く理解していないのでアレなのだが、理想としてはドメイン毎に HTTPS のサービス有無を確認してエラーを出してほしい
wiki の SNI 見ただけだが、TLS ハンドシェイク時にドメイン名を平文で送ると書いてあるから、https を disable 設定した(もしくは https 未設定の)ドメインはその先の証明書選択分岐に進まず 404 なりのエラーを返すような動作にするような設定があるもんだと思ってた
ドメイン名で使う証明書変えることが可能なのであれば、証明書無いのはその先には進まない、と言う挙動は可能なはず
<VirtualHost _default_:443> で https 未設定のドメインは全部こちらへ！は、あるのにその逆みたいな https 未設定は全て 404エラー！みたいなのは無いのかな。

1IP複数ドメインでそのうちの一部だけ HTTPS 欲しいけど他のドメインにHTTPS いらないや、ってことあると思うんだけどみんなどうしてるんだろう

501(1): 2017/09/27(水)19:43 ID:??? AAS
>>500
通信をTLSにするのかどうかの決定権が完全にサーバにあればそれでよい
だがクライアントがHTTPSでリクエストする以上はクライアントが秘匿通信を望んでいるのであって, サーバが(証明書がないために)勝手に秘匿通信は行わないよと一方的に宣言するわけだ

これを許容するということはクライアントとサーバの間に中間者が割り入ってHTTPSを勝手にHTTPに置き換え, クライアントは知らないうちに暗号化されない通信をさせられるMITM攻撃が可能になるということだ
許容出来る話ではなかろう

TLSより下位のTCPレイヤで接続を拒否するという発想はあり得るが, ホスト名はHTTPに乗っているからやはりバーチャルホストでは適用出来ない

上下前次1-新書関写板覧索設栞歴

ｽﾚ情報赤ﾚｽ抽出画像ﾚｽ抽出歴の未読ｽﾚ AAｻﾑﾈｲﾙ

ぬこの手ぬこTOP 1.141s*