SSL-Weiterleitung ohne Zertifikat

T

Thardas

New Member
Hallo Zusammen,

Ich möchte gerne eine Webseite über 2 Domains laufen lassen, wovon nur
eine (die, auf die letztendlich der Besucher landen soll) ein SSL-Zertifikat besitzt
welches Zertifiziert ist (also so, dass der Browser nicht meckert)

Nun möchte ich Besuchern allerdings ermöglichen die 1. Domain (die kein
"gültiges" Zertifikat besitzt) über HTTPS zu besuchen ohne dass sie
den meckernden Browser haben bezüglich des Zertifikats.

Ergo will ich folgende operationen realisieren:

http://domain1.tld -> https://domain2.tld (Funktioniert)
https://domain1.tld -> https://domain2.tld (Macht besagte Probleme) :(
http://domain2.tld -> https://domain2.tld (Funktioniert)
https://domain2.tld -> Der eigentliche Content (Funktioniert)

Wäre super wenn die möglichkeit bestünde das zu realisieren.

Laufen tut der Apache2 auf einem Debian 5. Auf diesen werden auch beide
Domains geleitet. Wir besitzen beide Domains, sprich können für beide
die kompletten Einstellungen von DNS bis Apache einrichten.

Gruß,
Thardas
 
Schema:
TCP-Handshake ----> SSL Handshake ----> Webserver

Somit ist es nicht moeglich - gott sei Dank. (Es macht Pishing schwieriger)
Ich kann dir als kostenfreie Alternative http://www.startssl.com/ anraten, meines Wissens beinhalten alle aktuellen Browser ihre Root-Certs.
Aeltere werden eventuell meckern, ob es dir die bis zu 100 Euro Ersparnis gegenueber einem 2. Cert wert ist musst du selbst entscheiden :)
 
Last edited by a moderator:
Hallöchen

Danke für deine Anwort, hatte wohl mit den Befürchtungen Recht, dass es
da keine Möglichkeit gibt.

Was meint denn "Alte Browser"? Solange das zu ie 5 und neuer kompatibel ist
wäre ja noch alles in ordnung (hab grade spontan nichts gefunden was das
angeht)

Gruß,
Thardas
 
Huhu,

*Grml* dann kann man das wohl vergessen.. viele Nutzer nehmen da noch
XP und da ist nunmal nach höchster wahrscheinlichkeit IE 5/6/7 drauf.

Schade :/
 
Natürlich kannst du SNI trotzdem benutzen. Der Fallback für Browser, die das Verfahren nicht unterstützen ist dann eben, dass sie das Default-Zertifikat erhalten und eine Warnmeldung anzeigen.

Die Alternative ist, dass du der zweiten Domain eine eigene IP-Adresse spendierst oder dass du beide Domainnamen (z. B. als SubjAltName) in ein Zertifikat packst. Letzteres ist je nach Variante wieder nicht mit allen Browsern kompatibel, siehe auch http://wiki.cacert.org/wiki/VhostTaskForce.
 
Gibt es denn nicht einfach eine Möglichkeit zu sagen:

"Hier gibt es kein SSL, schalte einfach auf Http um"?

Sprich eine HTTPS anfrage auf domain1 würde dann so gehn:

https://domain1.tld -> http://domain1.tld -> https://domain2.tld

Geht das vielleicht? Wie gesagt der eigentliche content bzw. ziel von allen
soll im endeffekt domain2 im https sein. Wie ich da hin komme ist mir egal.

Gruß,
Thardas
 
Naja muss wohl seine Richtigkeit haben :(

Ist ja auch auf der anderen Seite gut so, dass ich nicht domain1 als ssl
auf einmal zu domain2 als ssl weiterleiten kann ohne dafür ein gültiges
zertifikat zu haben..

Werden wir wohl oder übel doch nochmal investieren müssen.. *grml*
Trotzdem Danke an Euch Beide für die hilfreichen antworten
 
Welche Art der Warnung zeigen solche Dinosauerier wie IE5 ueberhaupt an?
Da damals (wo noch alles besser war :P ) Pishing kaum bekannt und nicht in "Mode" war, sollte sein Warnhinweis entsprechend dezent ausfallen.
 
You must log in or register to reply here.
Back
Top