Léa-Linux & amis :   LinuxFR   GCU-Squad   Zarb.Org   GNU
Astuce 406 fausse.
Envoyé par: Mind

Bonjour,

l'astuce :
[lea-linux.org]

est fausse.

1) Le probléme SSL/Vhost ne provient aucunement d'Apache mais est une limitation du protocole SSL lui-même, que vous utilisiez mod_ssl ou apache-ssl

2) apache-ssl n'est pas une amélioration de mod_ssl, ca serait même plutôt l'inverse.
mod_ssl a été re-écrit à partir de apache-ssl principalement pour le rendre plus "conforme", ajouter des features, nettoyer et documenter le code:
[www.modssl.org]
[www.apache-ssl.org]

3) Dans les deux cas, apache-ssl et mod_ssl on peut faire du "mass name based virtualhosting" comme décrit dans l'astuce (ca "fonctionne" dans les deux cas), mais à condition d'accepter le popup d'erreur SSL du navigateur concernant le CN différent des vhosts ,justement à cause du protocole SSL qui "rentre en conflit" avec HTTP 1/1, ce qui est inacceptable pour des sites "pro" de paiement en ligne etc...

Voir par exemple la FAQ de thawte (autorité de certification) qui explique le problème: [www.tbs-internet.com].
Ce problême se retrouve d'ailleur sur tout les serveurs Webs faisant du mass virtualhosting par nom.

Il existe toutefois une solution mais qui demande une modification au niveau des navigateurs Webs, encore faut il que tout les éditeurs de navigateurs webs l'ajoute, et si tel est le cas, cela prendra surement plusieurs années.

4) La seulle solution "correcte" est de faire du mass virtualhosting par IP ou par port.

Poste le Thursday 14 July 2005 13:11:32
Répondre     Citer    
Re: Astuce 406 fausse.
Envoyé par: Mind

Bon apparement on s'en fou... ca fait plaisir de remonter des erreurs....

Poste le Sunday 24 July 2005 18:21:57
Répondre     Citer    
Re: Astuce 406 fausse.
Envoyé par: merlin8282

Citation
Mind
Bon apparement on s'en fou... ca fait plaisir de remonter des erreurs....
Tu as l'air de te plaindre... tu as tort. Je pense que les admins n'ont peut-être pas encore eu le temps de se pencher sur ce problème, c'est tout. Moi j'ai bien envoyé un truc & astuce il y a de cela à peu près plus de 2 mois, je ne m'en plains pas. Bon, c'est vrai que mon T&A était un peu de la magouille (mais n'enpêche qu'il marche :-)) ), mais je m'en fiche s'il n'est pas publié.
Prends ton mal en patience, je suis certain qu'ils vont corriger la chose ;-) .

En tout cas, le fait que tu fasses la remarque est une bonne chose, j'aurais appris quelques petites choses à propos de SSL :-) . Et je suis certain de ne pas être le seul dans ce cas.

.:! L'être humain est au sommet de la chaîne alimentaire. Certes. Mais il est surtout au sommet de la connerie et de la bêtise... !:.
-- Pour les nouveaux linuxiens : Ce n'est pas en continuant de faire ce que l'on connaît que l'on pourra faire ce que l'on ne connaît pas --

Poste le Sunday 24 July 2005 21:51:23
Répondre     Citer    
Re: Astuce 406 fausse.
Envoyé par: Léa (anne)

Un tout petit peu de patience... nous sommes en pleine époque de migrations pour les vacances, les déménagements, les changements de grotte... Bref les ptits plaisirs de la vie hors de l'écran !

Merci pour cette remarque, nous allons revoir ce T&A.

Poste le Monday 25 July 2005 09:10:14
Répondre     Citer    
Re: Astuce 406 fausse.

Bonjour,

> l'astuce [lea-linux.org] est fausse.

<humour toussa> ah bon ? pourtant ca marche bien chez moi </humour toussa>


> 1) Le probléme SSL/Vhost ne provient aucunement d'Apache mais est une
> limitation du protocole SSL lui-même, que vous utilisiez mod_ssl ou apache-ssl


Ais-je dit le contraire dans le tips ?
Ceci est une limitation sécuritaire du protocole SSL.
comme il existe d'autre limite dans d'autre protocole.


> 2) apache-ssl n'est pas une amélioration de mod_ssl, ca serait même
> plutôt l'inverse. mod_ssl a été re-écrit à partir de apache-ssl
> principalement pour le rendre plus "conforme", ajouter des features,
> nettoyer et documenter le code:


Je n'ai pas dit qu'Apache-SSL était _mieux_ que de mod_SSL.
Je disais qu'Apache-SSL était mieux pour _ce_que_nous_voulions_faire_.
Certes, la phrase est ambigue

La phrase
"Apache-SSL est un projet pour le support SSL dans Apache mais de manière améliorée."
aurait du etre
"Apache-SSL est un projet pour le support SSL dans Apache mais plus en adéquation avec ce que nous avons besoin de faire."



> 3) Dans les deux cas, apache-ssl et mod_ssl on peut faire du
> "mass name based virtualhosting" comme décrit dans l'astuce
> (ca "fonctionne" dans les deux cas),
> mais à condition d'accepter le popup d'erreur SSL du navigateur
> concernant le CN différent des vhosts ,justement à cause du protocole
> SSL qui "rentre en conflit" avec HTTP 1/1, ce qui est inacceptable pour
> des sites "pro" de paiement en ligne etc...


j'attend ton bout d'astuce pour mod_ssl ...
je doute pas que cela marche avec mod_ssl, je précise juste "sans avoir à se prendre la tête pendant des heures dessus"
(aka ligne du tips "relativement simple")


> Voir par exemple la FAQ de thawte (autorité de certification)
> qui explique le problème:[www.tbs-internet.com].
> Ce problême se retrouve d'ailleur sur tout les serveurs Webs faisant du mass
> virtualhosting par nom.
>
> Il existe toutefois une solution mais qui demande une modification au niveau
> des navigateurs Webs, encore faut il que tout les éditeurs de navigateurs
> webs l'ajoute, et si tel est le cas, cela prendra surement plusieurs années.
>
> 4) La seulle solution "correcte" est de faire du mass virtualhosting par IP ou par port.
>


Cela sort du cadre du tips.
Le tips est une petite note, pas un article de référence.
Qui plus est la solution 4 sort carrément de l'environnement du dit-tips : d'avoir plusieurs vhost ssl sur une seule IP.


Je note malgrès tout tes objections et va de ce pas modifier le tips

Poste le Tuesday 26 July 2005 19:13:16
Répondre     Citer    
Re: Astuce 406 fausse.
Envoyé par: mind

<humour toussa> ah bon ? pourtant ca marche bien chez moi </humour toussa>

<humour aussi>Chez moi mod_ssl fonctionne aussi avec 2mns montre en main de configuration</humour aussi>

Ais-je dit le contraire dans le tips ?
Ceci est une limitation sécuritaire du protocole SSL.
comme il existe d'autre limite dans d'autre protocole.


C'est pas ce qu'on comprend quand on lit:
"Le problème actuel avec apache et le support SSL..."
Moi quand je lis ça, je comprend "Il est impossible de faire du multi vhost https sur une seulle ip avec Apache", ce qui est faux car cela fonctionne aussi bien en mod_ssl qu'en apache_ssl qui sont les deux implentation SSLs pour Apache, et qu'en plus cette limitation n'est pas du à Apache. La phrase est plus qu'ambigue.

Je n'ai pas dit qu'Apache-SSL était _mieux_ que de mod_SSL.
Je disais qu'Apache-SSL était mieux pour _ce_que_nous_voulions_faire_.


Je cite:
"Apache-SSL est un projet pour le support SSL d'Apache mais de maniére améliorée"
Moi je lis donc qu'Apache-SSL est le support SSL d'apache amélioré. Amélioré, donc meilleur. Puisqu'il n'existe que deux implentations SSL pour Apache (apache_ssl et mod_ssl) j'en conclus donc que apache_ssl est mieux que mod_ssl.

j'attend ton bout d'astuce pour mod_ssl ...
Pas plus compliqué qu'avec apache-ssl (hors conf de base SSL comme pour votre astuce, qui de toute façon est appliqué de base au httpd.conf par l'install du mod_ssl). Il suffit de déclarer vos vhosts, par exemple avec la conf minimale par vhost:

<VirtualHost _default_:443>
DocumentRoot /path/wwwroot1/
ServerName vhost1.domain.tld
SSLEngine ON
SSLCertificateFile path/to/server.crt
SSLCertificateKeyFile path/to/server.key
</VirtualHost>

<VirtualHost _default_:443>
DocumentRoot /path/wwwroot2/
ServerName vhost2.domain.tld
SSLEngine ON
SSLCertificateFile path/to/server.crt
SSLCertificateKeyFile path/to/server.key
</VirtualHost>

Ainsi de suite. Je vous l'accorde il y a deux lignes en plus à mettre par vhost, ce qui ne demande pas 1 heure de "prise de tête" dessus.

Cela sort du cadre du tips.
Le tips est une petite note, pas un article de référence.


Ca explique quand même d'ou vient la limitation vhost/SSL, ca ne fait pas du mal d'expliquer les choses je pense surtout pour les débutants.

La solution 4 sort effectivement du cadre, mais c'était juste pour avertir les lecteurs que la solution que vous donnez n'est pas "valable" pour un site de vente en ligne par exemple et que dans ce cas la solution 4 était la seulle valable.



Poste le Wednesday 27 July 2005 16:32:04
Répondre     Citer    
Re: Astuce 406 fausse.

astuce modifié, j'ai rajouté ton block "mod_ssl" et ta notification en bas

[lea-linux.org]

tu me dis si ca te va.
thx pour le retour

--
Benjamin GIGON
SysAdmin Lea, Cuisinier Léa
bgigon AT lea-linux POINT org

Poste le Friday 29 July 2005 11:49:47
Répondre     Citer    
Re: Astuce 406 fausse.
Envoyé par: mind

Ok pour l'astuce.
Ps: pourquoi M du Mind dans l'astuce? Je ne comprend pas la signification "M du Mind".

Poste le Monday 1 August 2005 15:43:18
Répondre     Citer    
Re: Astuce 406 fausse.

c'est mon délire à moi.
par exemple, Fred s'appelle "M. du Fred"
... ou "Mon bidounours chéri", mais ca c'est intime

--
Benjamin GIGON
SysAdmin Lea, Cuisinier Léa
bgigon AT lea-linux POINT org

Poste le Monday 1 August 2005 16:22:51
Répondre     Citer    

Veuillez vous authentifier auparavant pour commenter.

 

Ce forum !
Astuce 406 fausse.
Ce forum est réservé aux questions ayant pour sujets : les problèmes du site (liens invalides, images manquantes, autres problèmes), les remarques sur le site (félicitations, applaudissements, critiques, réclamations), les propositions (d'aide, de soutien, de modification, de création de documents ou de graphismes).

Serveur hébergé par ST-Hebergement et Lost-Oasis / IRC hébergé par FreeNode / NS secondaire hébergé par XName
Sauf mention contraire, les documentations publiées sont sous licence Creative-Commons