Bonjour à tous,

Pourriez-vous me conseiller une façon de restreindre la diffusion de son 
certificat X.509 par un serveur web en home hosting ?

La machine héberge quelques applications à usage privé, type NextCloud, 
tournant sous Apache. Toutes sont accessibles en HTTPS, chacune par son propre 
sous-domaine.

 1er virtual host : https://piero.example.com
 2nd virtual host : https://frangin.example.com
 3eme virtual host : https://tralala.example.com

Un rewrite dans la configuration d'Apache reformule toute requête HTTP reçue 
sur le port 80 en requête HTTPS sur le port 443. Un seul certificat wilcard 
<*.example.com> est installé pour tous les virtual hosts. Le module SNI n’est 
pas activé. Le reste de l’infrastructure en home hosting est classique: le 
serveur est accessible depuis l'Internet par un NAT et aucun reverse-DNS 
n’existe pour cette adresse IP publique. L’accès Internet ne dispose que d’une 
seule adresse IP publique fixe.

En HTTPS, le certificat X.509 est systématiquement délivré à n’importe quel 
visiteur, au tout début de la tentative de connexion, même si celui-ci accède 
au serveur par son adresse IP, ou même si celui-ci forge n’importe quel domaine 
dans le header de sa requête HTTP (par exemple en enregistrant localement un 
domaine quelconque fictif pour cette adresse IP dans son fichier host). A ma 
connaissance, la façon dont sont configurés les virtual hosts n’y change rien.

Par ailleurs, le certificat renferme le nom du domaine pour lequel il a été 
signé, il dit donc explicitement au visiteur quel domaine correspond à 
l'adresse IP que celui-ci est en train d'interroger, malgré l’absence 
d'enregistrement reverse dans les DNS.

J’aimerai mieux sécuriser le serveur contre les balayages d’IP, et lui 
interdire de communiquer ce certificat X.509 à un visiteur se connectant 
directement sur son adresse IP ou se connectant en résolvant cette adresse IP à 
travers un domaine fictif.

Existe-t-il un moyen d’y parvenir ?

Merci !
_______________________________________________
gull mailing list
gull@forum.linux-gull.ch
http://forum.linux-gull.ch/mailman/listinfo/gull

Répondre à