Diskussion:Server Name Indication

aus Wikipedia, der freien Enzyklopädie
Letzter Kommentar: vor 8 Jahren von Nenntmichruhigip in Abschnitt mehr oder nicht mehr
Zur Navigation springen Zur Suche springen

SNI in Google Chrome

[Quelltext bearbeiten]

Hi, laut http://groups.google.com/group/chromium-discuss/browse_thread/thread/3e492bfb65f0ae68 unterstützt Google Chrome SNI, wenn das zugrunde liegende Betriebssystem SNI unterstützt (im Moment nur Vista). Sollte man Chrome in die Liste aufnehmen? Gruß Andreas -- Meister-Lampe (Diskussion) 17:26, 2. Dez. 2008 (CET)Beantworten

Einleitungstext

[Quelltext bearbeiten]

Es wurde geschrieben: "die es ermöglicht, dass sich mehrere Websites unterschiedlicher Domains einen Server teilen". Ist es nicht eher so, dass sich unterschiedliche Domains eine IP teilen? Mehrere/Unterschiedliche Domains kann ich auch ohne SNI auf einem Server definieren, wenn ich zusätzliche IP's auf seine NIC mappe.

Übersehe ich etwas? (nicht signierter Beitrag von 91.64.56.15 (Diskussion) 17:45, 7. Jun. 2012 (CEST)) Beantworten

Ja, tust du. Mehrere Domains pro IP ist mit DNS und Virtual Hosts machbar. Allerdings gibt es ein "Timing" Problem bei der Verwendung von HTTPS. HTTPS ist HTTP über SSL. Beim SSL werden die Zertifikate ausgetauscht, die Verbindung aufgebaut, und anschliessend die HTTP-Abfrage gestellt. Wenn mehrere Virtual Hosts auf einem Server liegen kann der Server gar nicht wissen, welches Zertifikat er für das SSL verwenden soll, bevor die HTTP-Anfrage kommt. Daher ist nur ein Zertifikat, und damit nur eine Domäne pro IP möglich. Dank SNI kann der Client schon vorher "ankündigen", welche Domain er denn sucht, und der Server kann das Zertifikat passend zur Anfrage rausgeben. --P.C. 17:52, 7. Jun. 2012 (CEST)Beantworten

Multi Domain Zertifikat

[Quelltext bearbeiten]

Im englischen Artikel steht: "It is possible for one certificate to cover multiple hostnames." Im deutschen Artikel dagegen wird von dem "Zertifikat, das immer nur für eine Domain gilt," gesprochen.

Möglicherweise ist diese Information falsch oder veraltet. Kann da jemand der sich auskennt mal schauen? SNI gewinnt im Rahmen der akuten IPv4 Knappheit immer mehr an Bedeutung, da wäre es schön, wenn der deutsche Artikel ebenso ausführlich wäre wie der englische. (nicht signierter Beitrag von 79.255.112.215 (Diskussion) 19:03, 29. Nov. 2012 (CET))Beantworten

Ich habe das korrigiert. Es gibt Wildcard Zertifikate, die sind etwas teurer als Einzel Zertifikate, da sie komplette Domains absichern. Da sie allerdings generisch sind, also jegliche Domain im Bereich eines Nameservers abdecken, sind sie etwas verpönt.
Als ich den Artikel schrieb, habe ich die Technik auch kaum angewendet. Inzwischen weiß ich, das man auch mehere Hostnamen in einem Standard Zertifikat angeben kann. Dies bieten die meisten CA (Zertifikatsanbieter) aber nur bei "teureren" Zertifikaten an. Das ganze Konzept der SSL Zertifikate ist eh fragwürdig da ja in der Vergangenheit einige CAs gehackt wurden. Inzwischen gibt es eine DANE Working Group mit dem Vorschlag, bei die Zertifikate im DNS abzulegen. Diese wirden dann wiederum per DNSSEC gesichert. Somit sind zentrale CAs überflüssig. Ich werde das in dem Artikel noch einarbeiten, oder DANE erstmal auf English beschreiben, dort wird ja nicht alles sofort gelöscht... https://wiki.mozilla.org/Security/DNSSEC-TLS-details http://www.cisco.com/web/about/ac123/ac147/archived_issues/ipj_15-1/151_dane.html --Tronicum (Diskussion) 23:29, 9. Dez. 2012 (CET)Beantworten

mehr oder nicht mehr

[Quelltext bearbeiten]

Abschnitt Sicherheit: „Dies verrät unter Umständen mehr Informationen als SSL/TLS ohne SNI, da das anschliessend übertragene Server-Zertifikat ebenfalls die Domain(s), für die es ausgestellt wurde, im Klartext enthält.“ In dem Satz passt mEn etwas nicht: Entweder ist es relativ egal, ob das Zertifikat den Namen nochmal unverschlüsselt enthält, weil man den Namen eh schon übertragen hat. Dann ist da die Kausalität falsch. Oder da soll "nicht mehr" stehen, weil das Zertifikat die Namen auch ohne SNI unverschlüsselt enthält. Das würde dann auch besser zum Satz danach passen. --nenntmichruhigip (Diskussion) 20:12, 15. Feb. 2016 (CET)Beantworten

Das kommt auf den Namen im Zertifikat an. Wenn es ein Wildcard-Zertifikat ist (*.foo.de), dann sieht man am Zertifikat nicht, ob der Nutzer auf news.foo.de war oder auf jobs.foo.de, bei SNI sieht man das jedoch im Klartext. --RokerHRO (Diskussion) 14:00, 16. Feb. 2016 (CET)Beantworten
Weiss ich, aber lies den Satz nochmal: Da steht, dass das Zertifikat die Domainnamen, für die es gültig ist, enthält, und dass das der Grund sei, weswegen mit SNI mehr bekannt wird. Das von dir beschriebene steht schon im Satz dahinter, den ich nicht zitiert habe. --nenntmichruhigip (Diskussion) 20:51, 16. Feb. 2016 (CET)Beantworten