Vlákno názorů k článku Šifrované SNI lepí díru do soukromí, jako první ho bude umět Firefox od Borek - "Platilo totiž, že co šifrovaný web, to jedna...
-
Borek (neregistrovaný)
"Platilo totiž, že co šifrovaný web, to jedna IP adresa"
Jen doplním, že úplná informace je, že co jeden certifikát, to jedna IP adresa. Bez SNI šlo mít víc HTTPS webů na jedné IP, pokud se použil SAN nebo wildcard certifikát. Nepochybuji, že to autor článku ví, dodávám to spíš pro ostatní.
-
Jenda (neregistrovaný)
> nejde spis o JEDEN web pod ruznymi jmeny/domenami?
Ne, po navázání TLS ti přijde normální HTTP požadavek s hlavičkou Host a ty se podle toho rozhodneš, který web budeš servírovat.
A osobně teda Let's Encrypt používám přesně takhle, mám jeden certifikát a v něm je SAN s vyjmenovanými všemi weby, co hostuju. Dřív šlo tvrdit, že tím zbytečně leakuje co všechno hostuju, ale dneska si to stejně každý může najít na https://crt.sh/, takže je to fuk.
-
Teoreticky je možné používat různé porty, ale je (zvlášť dnes) spousta důvodů to nedělat, zvlášť když už máme SNI:
* HSTS
* uživatelská přívětivost
* komplikace při přechodu na jiný webhosting
* prostor pro špatnou konfiguraci serveru – pokud budu mít třeba https://foo.com:1000 a Vy na stejné IP adrese https://bar.com:2000, co se ukáže na htttps://bar.com:1000 ?
ČLÁNKY DO MAILU