[MASOCH-L] RES: Sobre funcionamento do Apache Httpd

Juliano Dapper juliano.dapper at getnet-tecnologia.com.br
Tue Jan 30 15:29:25 BRST 2007


Porque não usar um wildcard certificate ?

*.dominio.com.br

MARLON BORBA wrote:
> acontece que o "hostname" visto pelo usuário (e que oferece o serviço seguro) deve corresponder ao CN do certificado, mesmo que haja um "load balancer", um "cluster" ou um "whadahell" por trás. se você expuser serviços com "hostnames" diferentes cada um tem de ser protegido por um certificado. é isso a que o danton se refere, suponho eu.
> 
> 
> 
> Abraços,
> 
> Marlon Borba, CISSP
> Técnico Judiciário - Segurança da Informação
> TRF 3ª Região
> (11) 3012-1683
> --
> 1997-2007 - Dez Anos da DSUP.
> Conhecimento Gerando Soluções.
> --
> 
>>>> raphaelbscosta at gmail.com 30/1/2007 13:30:28 >>>
> Estranho... aqui tenho balanceamento entre 7 servidores e apenas um
> certificado.
> 
> On Tue, 2007-01-30 at 13:58 -0200, José Elias Mussauer Neto wrote:
> 
>> É verdade, lembro que quando adquirimos nossos certificados fomos 
>> obrigados a comprar 2 certificados para o mesmo domínio, como fazemos 
>> balancemento de carga nos Apaches, pelas razões explicadas pelo Marlon.
>>
>> Lao DanTong escreveu:
>>> On Tue, 30 Jan 2007, MARLON BORBA wrote:
>>>
>>>   
>>>> o problema, danton, é que segundo as normas da ICP-Brasil, até onde me 
>>>> recordo, era 1 para 1, ou seja, cada certificado só pode se referir a UM 
>>>> servidor. isso ficou evidenciado quando pedi certificados AC-JUS para os 
>>>> servidores do TRF.
>>>>     
>>> depende do que você chama de servidor. na verdade o certificado está 
>>> amarrado somente a um nome de domínio e a mais nada, normalmente num campo 
>>> tipo CN. esse nome por sua vez tem que virar um endereço IP, e por causa 
>>> de como funciona o HTTPS, esse endereço tem que ser único.
>>>
>>> é possível emitir um certificado que vale para vários domínios através de 
>>> múltiplos CNs. o próprio openssl pede nomes alternativos quando gera uma 
>>> requisição de certificado, mas isso não é nada prático porque vai de cara 
>>> revelar quais são os domínios que estão co-hospedados. é comum fazer isso 
>>> quando o site pode ser referido por mais de um nome tipo www.inexo.com.br 
>>> e inexo.com.br
>>>   
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
> 
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l

-- 


More information about the masoch-l mailing list