VServer alle https Request auf eine Domain weitergeleitet?

F

FrankSoer

New Member
Hallo zusammen,
ich habe einen VServer mit nur einer IP. Jetzt habe ich für eine Domain ein SSL Zertifikat eingerichtet was auch wunderbar funktioniert.

Das Problem ist jetzt, normale http Requests werden korrekt an die entsprechenden unterschiedlichen Domains weitergeleitet.

Code: 
https://www.nasenbaer.de -> https://www.nasenbaer.de
http://www.ohrenschmalz.de -> http://www.ohrenschmalz.de

Wenn ich jetzt aber auf eine andere Domain auf dem VServer via https zugreife, dann wird der https request auf die eine Domain für die das Zertifikat eingerichtet ist weitergeleitet.

Code: 
https://www.nasenbaer.de -> https://www.nasenbaer.de
http://www.ohrenschmalz.de -> https://www.nasenbaer.de

Gibt es eine Möglichkeit dieses falsche Verhalten zu verhindern? Ohne eine weitere IP hinzu zu mieten?

Vielen Dank!!!

System:
Debian 7 "Wheezy"
Apache 2
Ispconfig 3
 
Du must die ssl_default oder so ähnlich aktivieren.
Da du nur einen ssl vhost hast bekommt der alle Anfragen
 
Du must die ssl_default oder so ähnlich aktivieren.
Da du nur einen ssl vhost hast bekommt der alle Anfragen.
 
Danke für die Antwort.

Ich habe es leider nicht ganz verstanden was du meinst.
"ssl_default aktivieren"?

Meinst du etwas in der "default-ssl.conf" verändern?
 
genau die meine ich. Bin gerade unterwegs kann jetzt nicht nachschauen.

Auf der konsole a2ensite ssl_default.conf
Danach apache neu starten.

Du kannst dir im Ispconfig auch einen default vhost anlegen.
Am besten einen Namen mit 0 am Anfang.
Dann wird die default Seite vom Ispconfig ausgeliefert.
Der apache sucht alphapetisch nach dem passenden vhost.
Findet der keinen passenden wird der erste vhost im alphapet genommen. Da du nur einen ssl vhost hast wird der genommen.
Ich war da selber schon am Verzweifeln.
 
Ich glaube, es geht dem TE darum, mehrer Webseiten unter unterschiedlichen Domains per https erreichbar zu machen. Das ist möglich, aber mit Einschränkungen verbunden, denn dazu wird SNI benötigt. SNI wird aber nicht von allen Browsern unterstützt, einen ersten Überblick gibt die englische Wikipedia (die deutsche ist da etwas weniger detailiert). Der bei Debian Wheezy verwendet Apache sollte SNI-fähig sein, ob ISPConfig das auch kann, kann ich aber nicht sagen.
 
Danke für die Antworten!

Ja SNI sollte die Lösung sein und müsste eigentlich in der Apache Version die bei mir installiert ist (Apache/2.2.22, OpenSSL/1.0.1e) integriert sein.

Mit dem Browser Support ist es so eine Sache, was passiert wenn ein Browser der das nicht unterstützt auf die Seite zugreift?
Da ich TLS 1.2 benutze und das scheinbar von alten Browsern ebenfalls nicht unterstützt wird https://en.wikipedia.org/wiki/Transport_Layer_Security#Web_browsers ist es vielleicht kein wirklich großes Problem

Desktop Browsers

Internet Explorer 7 and later
Firefox 2
Opera 8 with TLS 1.1 enabled
Google Chrome:
Supported on Windows XP on Chrome 6 and later
Supported on Vista and later by default
OS X 10.5.7 in Chrome Version 5.0.342.0 and later
Safari 2.1 and later (requires OS X 10.5.6 and later or Windows Vista and later).
Note: No versions of Internet Explorer on Windows XP support SNI


Mobile Browsers

Mobile Safari for iOS 4.0
Android 3.0 (Honeycomb) and later
Windows Phone 7
Click to expand...
 
Last edited by a moderator:
SNI support gibt es glaube seit Win NT 5.2
NT --> Neantertal Technologie

Wenn ich mit meinem Trabi an die Tanke komme finde ich keine
Tanksäule mit Gemisch 1:50 oder 1:33

Jeder moderne Browser unterstützt SNI
 
SNI wird unter Windows seit NT6.0 unterstützt (also Vista/Server 2008) und wirkt sich damit auch auf alle Browser aus, die die SSL-Routinen des Betriebssystems verwenden.
Wenn SNI vom Browser nicht unterstützt wird, landet die Anfrage meines Wissens beim ersten SSL-Vhost der Apache-Konfiguration.
 
Es ist zu vermerken dass Android Webkit erst ab Honeycomb (3.0) SNI unterstützt. Die 2.x Zweige sind zwar steinalt, wurden aber noch länger für low-cost Geräte und China-Importe verwendet.
Generell ist allerdings der Marktanteil entsprechender Geräte mittlerweile vernachlässigbar.
 
Okay vielen dank erst einmal an alle!

Was ich jetzt aber noch nicht wirklich verstehe ist:
Wenn SNI im Prinzip schon so lange verfügbar ist, alle neueren Browser und Betriebssysteme es unterstützen und die IPv4 Adressen angeblich so knapp sind.
Warum wird es dann nicht standardmäßig von Hostern eingesetzt?

Einerseits sind namensbasierte virtuelle Hosts üblich, andererseits wird aber für SSL nicht SNI eingesetzt sondern jeweils eine eigene IP genutzt?

Warum?
 
Das hängt stark vom Hoster ab.
Generell vergibt mein Arbeitsgeber IPv4-Adressen nur auf entsprechende Anfrage inkl. Email-Routing, ansonsten läuft HTTPS über SNI.

Einige Hoster scheuen weiterhin das Risiko von potentiellen Kompatibilitätsproblemen weshalb sie lieber auf Nummer sicher gehen.
IPv4 Adressen sind zwar knapp, aber noch nicht "alle", und somit gegen entsprechende Gebühren erhältlich; die natürlich immer, inklusive Aufschlag, auf den Kunden abgewälzt werden.

[OT]
Am Rand: IPv4 ist nur aktuell so knapp weil einige Firmen und Regierungen meinen ganze /8 Netze rumliegen lassen zu müssen. Es ist zweifelhaft dass die US-Post oder der MIT wirklich 16.5 Mio öffentliche Adressen brauchen. Oder Xerox. Oder HP. Oder das US-DoD welches ganze 12 Stück davon hat.
Siehe diese Liste: http://en.wikipedia.org/wiki/List_of_assigned_/8_IPv4_address_blocks
 
Wenn man sich überlegt, dass viele Firmen die IE als Standard-Browser nutzen und letztes Jahr viele Firmen noch mal Support für Windows XP eingekauft haben, weil sie mit der Umstellung auf eine neuere Windows-Version noch nicht so weit sind, dann sind da noch einige Systeme, die nicht SNI fähig sind (Windows XP und Server 2003 sind nicht SNI-fähig, egal welche Version des IE installiert ist). Das wird für einige Hoster gegen SNI sprechen (immer noch).
 
Im Gegenzug sollte man sich überlegen dass, wenn selbst Giganten wie Google keine einzige Internet-Explorer Version unter Windows-XP mehr auf ihren Diensten untersützten... warum sollte ich?
Windows XP ist tot, wertvolle Ressourcen in ein Betriebssystem zu stecken welches von Firmen über Verlängerungen oder Registry-Hacks künstlich am Leben gehalten wird ist reine Verschwendung.

Wenn eine Firma ein veraltetes Betriebssystem einsetzt will, soll mindestens ein moderner Browser wie bspw Chrome drauf. Der kann auch SNI. Allerdings sollten Rechner auf welchen so besondere Programme laufen dass sie nicht unter Windows 7 lauffähig machbar sind, auch nicht zum Surfen benutzt werden. Alternativ kann die Applikation auch (mehr oder wenig) einfach virtualisiert werden.
 
Ich sehe das auch so.
Auf SNI verzichten nur weil der IE es nicht kann? Wozu?
Auch auf XP laufen genügend moderne Browser, die das beherrschen.
 
You must log in or register to reply here.
Back
Top