PHP min. 5.6.8MySQL min. 5.1Apache min. 2.0
PHP-Fusion 9 Jádro
v9.0
Český překlad
Pravidelně aktualizovaný

Technologie

Používáme technologii SNI (díl 1.)

Technologie SNI začala být více využívána vzhledem k docházejícímu počtu IPv4 adres. U SNI není potřebné si k certifikátu pronajímat vlastní IP adresu. Pro správné fungování výměny šifrovacích klíčů a navázání šifrované komunikace, je ovšem nutné aby obě strany (server) a klient (převážně webový prohlížeč) byly na tuto technologii připraveny.

Technologie SNI začala být více využívána vzhledem k docházejícímu počtu IPv4 adres. U SNI není potřebné si k certifikátu pronajímat vlastní IP adresu. Pro správné fungování výměny šifrovacích klíčů a navázání šifrované komunikace, je ovšem nutné aby obě strany (server) a klient (převážně webový prohlížeč) byly na tuto technologii připraveny.

Ve verzích HTTP protokolu se nepočítalo s provozem více domén na jednom serveru. Předpokládalo se, že každá doména bude mít svůj vlastní stroj. To a další nevýhody způsobovaly a ještě mnohdy stále přinášejí nepraktický důsledek, a to záměnu, která se v prohlížeči návštěvníka projevuje nepříjemným upozorněním na chybu v zabezpečení a výzvou k opuštění webu. Důvodem je nesoulad navštívené domény a domény, pro kterou byl certifikát vystaven (Common name certifikátu). Abychom se vyhnuli takovým potížím, je nutná podpora metody SNI (Server Name Indication).

Jak pracuje SNI?

Při použití SNI musí být ovšem splněn základní požadavek podpory této technologie na obou stranách. Tudíž na serveru a také u klienta. Funguje to taki, že klient, který využívá SNI před výměnou šifrovacích klíčů nejprve sdělí jméno požadovaného webového serveru a server poté vybere konkrétní šifrovací klíč (certifikát) požadovaného virtuálního serveru nebo domény. Na jedné IP adrese potom mohou být různé domény s různými SSL certifikáty a žádné potíže a varovná hlášení se neobjeví.

Podpora SNI u prohlížečů a operačních systémů
Mnohé webové prohlížeče se SNI bez problémů spolupracují, avšak nikoli všechny a na všech systémech. Problémy měl nejvíce Windows XP a potíže byly i na mobilních zařízeních, i na Linuxu. Aktuální seznam podporovaných prohlížečů je ZDE. Jsou to např.:

Prohlížeče pro TLS server name indication
Mozilla Firefox 2.0 a vyšší
Opera 8.0 a vyšší
Google Chrome
Safari 3.2.1 Mac OS X 10.5.6
Android – výchozí prohlížeč od verze Honeycomb
SNI naopak nepodporuje třeba Konqueror, IE a Safari na XP, wget, Windows Mobile až po 6.5, Oracle Java JSSE.

Servery
Apache 2.2.12 nebo novější s podporou mod_gnutls nebo mod_ssl
Cherokee, jestliže je kompilovaný s TLS podporou
Verze lighttpd 1.4.x a 1.5.x
Nginx doprovázený vestavěným OpenSSL s SNI podporou
Microsoft IIS 8 - Od verze Windows Server 8 Beta je již podpora vazeb s SNI

Nepodporované operační systémy
Windows XP a Internet Explorer 6,7 a 8
Konqueror/KDE nižší než 4.7
Microsoft Internet Information Server IIS do verze 7.
V Linux/Debianu Lenny podpora pro SNI v modulu mod_ssl chybí, je tedy nutno použít modul mod_gnutls, který je k dispozici v balíčku libapache2-mod-gnutls.
Pro provozování SSL domén, tedy certifikátu pro každou doménu na jedné adrese musí mít Apache podporu pro SNI. Ta je od verze 2.2.14.

O dalším použití systému SNI a jeho instalaci i využití náhrady SAN certifikát budu psát v dalším díle.



  • Autor: Vícha Květoslav (Kvido)
  • PC-politika.cz
  • Zdroj: Server Name Indication
  • Stupeň znalosti - expert


Kvido 27.05.2016 05:40 474 0 komentářů

0 komentářů

Zanechat komentář

Přihlaste se, abyste mohli zveřejnit komentář.
  • Žádné komentáře byly zveřejněny.
Nejnovější témata fóra
  Vlákno Zobrazení Odpovědi Poslední příspěvek
Novinky - video
v Administrace obsahu
167 8 Kvido
18-10-2018 17:17
Instalace na Ubuntu serveru
v PHP-Fusion 9.0
170 8 grootcz
11-10-2018 19:27
PHP 7 čeština
v PHP-Fusion 7
247 1 Kvido
28-09-2018 13:46
Vývoj - ako pokračuje
v PHP-Fusion 9.0.3
272 2 RobiNN
23-09-2018 13:37
FAQ chyba
v Administrace obsahu
200 1 RobiNN
23-09-2018 13:35
Blogs na HP [Vyřešeno]
v PHP-Fusion 9.0
248 2 Kvido
15-09-2018 17:12
Tenisový portál [Vyřešeno]
v Obecná diskuse
360 3 jany
08-09-2018 08:06
Přihlášení
Ještě nejste členem? Klikněte zde a zaregistrujte se.
Shoutbox
Chcete-li odeslat zprávu, musíte se přihlásit.
Nebyly odeslány žádné zprávy.
Nejčtenější blogy