Am Donnerstag, 14. April 2005 18:57 schrieb Michelle Konzack: > Am 2005-04-14 17:55:30, schrieb Evgeni -SargentD- Golov: > > Wer hat denn wann von Dynamischen IPs gesprochen? Ich nicht. Und > > der OP auch nicht. > > Aber was sollte das fÃr einen Unterschied machen, wenn eh nach dem > > Host entschieden wird. > > "shttp" funktioniert IMMER IP-Based, und ein Cetrifikat hat eben > nun mal die IP drin. Wenn Du nun auf einer dynamischen IP sitzt, > Ãndert sich in der regel alle 24 Stunden Deine IP.
das ist ja nunmal totaler Quatsch. Kein Zertifikat hat die IP als cn gespeichert sondern den FQDN Namen oder einen Wildcard FQDN. Das Prinzip hinter https ist, das dein Server sich mittels privatem Key zu seinem Zertifkat ausweisen kann und damit eine gÃltige Signatur erzeugen kann, die der Client mittels Root-CA Zertifikat prÃfen kann. Dabei spielt die IP Adresse Ãberhaupt keine Rolle. Das einzige Problem ist, das vor dem eigentlichen http Call bereits die sichere Verbindung aufgebaut wird und daher nur die IP (und deren reverse lookup) bekannt ist. Wenn der Apache jetzt aber ein Wildcard Zertifikat verwendet und der Client einen FQDN, der dem Wildcard Zertifikat entspricht, anspricht, kann jede Subdomain, sofern das Zertifikat gÃltig ist, als sichere Verbindung angenommen werden. > Wenn Du NameBased Zertifikate basteln kÃnnetst, kann jeder den > DomainName spoofen und vorgeben er kÃnnte Du sein, was die > Sicherheit von "shttp" untergraben wÃrde unfug. > Am beste ist, wenn Du Dich mal in die RFCs einlieÃt um zu > verstehen wie "shttp" funktioniert. vielleicht besser selbst mal nachlesen. > Certifikate werden fÃr die IP-Adresse und dem dazugehÃrigen > DomainNamen ausgestellt. unfug, es wird der FQDN als cn im Zertifikat gespeichert und nichts anderes. > Wenn die IP-Adresse wechsaelt, wird das Zertifikat ungÃltig. grober unfug. -- Markus Schulz
