Diskussion:Server Name Indication

aus Wikipedia, der freien Enzyklopädie
Dies ist die aktuelle Version dieser Seite, zuletzt bearbeitet am 10. April 2021 um 13:45 Uhr durch imported>TaxonBot(1824919) (Bot: Überarbeitung veralteter Syntax / HTML-Validierung).
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)

SNI in Google Chrome

Hi, laut http://groups.google.com/group/chromium-discuss/browse_thread/thread/3e492bfb65f0ae68 unterstützt Google Chrome SNI, wenn das zugrunde liegende Betriebssystem SNI unterstützt (im Moment nur Vista). Sollte man Chrome in die Liste aufnehmen? Gruß Andreas -- Meister-Lampe (Diskussion) 17:26, 2. Dez. 2008 (CET)

Einleitungstext

Es wurde geschrieben: "die es ermöglicht, dass sich mehrere Websites unterschiedlicher Domains einen Server teilen". Ist es nicht eher so, dass sich unterschiedliche Domains eine IP teilen? Mehrere/Unterschiedliche Domains kann ich auch ohne SNI auf einem Server definieren, wenn ich zusätzliche IP's auf seine NIC mappe.

Übersehe ich etwas? (nicht signierter Beitrag von 91.64.56.15 (Diskussion) 17:45, 7. Jun. 2012 (CEST))

Ja, tust du. Mehrere Domains pro IP ist mit DNS und Virtual Hosts machbar. Allerdings gibt es ein "Timing" Problem bei der Verwendung von HTTPS. HTTPS ist HTTP über SSL. Beim SSL werden die Zertifikate ausgetauscht, die Verbindung aufgebaut, und anschliessend die HTTP-Abfrage gestellt. Wenn mehrere Virtual Hosts auf einem Server liegen kann der Server gar nicht wissen, welches Zertifikat er für das SSL verwenden soll, bevor die HTTP-Anfrage kommt. Daher ist nur ein Zertifikat, und damit nur eine Domäne pro IP möglich. Dank SNI kann der Client schon vorher "ankündigen", welche Domain er denn sucht, und der Server kann das Zertifikat passend zur Anfrage rausgeben. --P.C. 17:52, 7. Jun. 2012 (CEST)

Multi Domain Zertifikat

Im englischen Artikel steht: "It is possible for one certificate to cover multiple hostnames." Im deutschen Artikel dagegen wird von dem "Zertifikat, das immer nur für eine Domain gilt," gesprochen.

Möglicherweise ist diese Information falsch oder veraltet. Kann da jemand der sich auskennt mal schauen? SNI gewinnt im Rahmen der akuten IPv4 Knappheit immer mehr an Bedeutung, da wäre es schön, wenn der deutsche Artikel ebenso ausführlich wäre wie der englische. (nicht signierter Beitrag von 79.255.112.215 (Diskussion) 19:03, 29. Nov. 2012 (CET))

Ich habe das korrigiert. Es gibt Wildcard Zertifikate, die sind etwas teurer als Einzel Zertifikate, da sie komplette Domains absichern. Da sie allerdings generisch sind, also jegliche Domain im Bereich eines Nameservers abdecken, sind sie etwas verpönt.
Als ich den Artikel schrieb, habe ich die Technik auch kaum angewendet. Inzwischen weiß ich, das man auch mehere Hostnamen in einem Standard Zertifikat angeben kann. Dies bieten die meisten CA (Zertifikatsanbieter) aber nur bei "teureren" Zertifikaten an. Das ganze Konzept der SSL Zertifikate ist eh fragwürdig da ja in der Vergangenheit einige CAs gehackt wurden. Inzwischen gibt es eine DANE Working Group mit dem Vorschlag, bei die Zertifikate im DNS abzulegen. Diese wirden dann wiederum per DNSSEC gesichert. Somit sind zentrale CAs überflüssig. Ich werde das in dem Artikel noch einarbeiten, oder DANE erstmal auf English beschreiben, dort wird ja nicht alles sofort gelöscht... https://wiki.mozilla.org/Security/DNSSEC-TLS-details http://www.cisco.com/web/about/ac123/ac147/archived_issues/ipj_15-1/151_dane.html --Tronicum (Diskussion) 23:29, 9. Dez. 2012 (CET)

mehr oder nicht mehr

Abschnitt Sicherheit: „Dies verrät unter Umständen mehr Informationen als SSL/TLS ohne SNI, da das anschliessend übertragene Server-Zertifikat ebenfalls die Domain(s), für die es ausgestellt wurde, im Klartext enthält.“ In dem Satz passt mEn etwas nicht: Entweder ist es relativ egal, ob das Zertifikat den Namen nochmal unverschlüsselt enthält, weil man den Namen eh schon übertragen hat. Dann ist da die Kausalität falsch. Oder da soll "nicht mehr" stehen, weil das Zertifikat die Namen auch ohne SNI unverschlüsselt enthält. Das würde dann auch besser zum Satz danach passen. --nenntmichruhigip (Diskussion) 20:12, 15. Feb. 2016 (CET)

Das kommt auf den Namen im Zertifikat an. Wenn es ein Wildcard-Zertifikat ist (*.foo.de), dann sieht man am Zertifikat nicht, ob der Nutzer auf news.foo.de war oder auf jobs.foo.de, bei SNI sieht man das jedoch im Klartext. --RokerHRO (Diskussion) 14:00, 16. Feb. 2016 (CET)
Weiss ich, aber lies den Satz nochmal: Da steht, dass das Zertifikat die Domainnamen, für die es gültig ist, enthält, und dass das der Grund sei, weswegen mit SNI mehr bekannt wird. Das von dir beschriebene steht schon im Satz dahinter, den ich nicht zitiert habe. --nenntmichruhigip (Diskussion) 20:51, 16. Feb. 2016 (CET)