Điểm:0

Tiêu đề máy chủ chứng chỉ SNI và IIS

lá cờ cn

Bối cảnh: Trang web IIS với tiêu đề tên máy chủ được định cấu hình và chứng chỉ TLS.

Khi một khách hàng bắt đầu một kết nối đến trang được chỉ định, đây có phải là quy trình phù hợp không?

  • Máy khách (trình duyệt) thực hiện tra cứu DNS
  • Kết nối TCP được thiết lập với máy chủ
  • Máy khách (trình duyệt) xây dựng tải trọng TLS trong đó nó bao gồm SNI là tên trang web và bắt đầu bắt tay với máy chủ
  • Máy chủ tìm kiếm chứng chỉ có tên được chỉ định trong danh sách chứng chỉ liên kết trang web của nó và phản hồi lại
  • Sau khi TLS được thiết lập, máy chủ web IIS định tuyến yêu cầu HTTP đến trang web cụ thể bằng cách sử dụng giá trị tiêu đề HOST.

Theo hiểu biết của tôi, SNI là thông tin cơ sở để máy chủ tra cứu chứng chỉ của trang web.

Điều gì xảy ra nếu sau khi bắt tay TLS, tôi thực sự sửa đổi tiêu đề Máy chủ HTTP để nhắm mục tiêu một trang web khác? Điều này có thể không?

Lex Li avatar
lá cờ vn
“Tôi thực sự sửa đổi tiêu đề Máy chủ HTTP để nhắm mục tiêu một trang web khác” là không đủ rõ ràng. Hãy tự hỏi nơi bạn có thể sửa đổi tiêu đề Máy chủ, sau đó bạn sẽ thấy khả năng thực tế. Thông thường, bạn chỉ có thể sửa đổi tiêu đề đó ở phía trình duyệt, sau đó bạn sẽ mất quyền kiểm soát khi trình duyệt tiếp quản và khởi tạo một kết nối TLS khác đến trang web khác.
Điểm:0
lá cờ cz

RFC 6066 phần 11.1 nói, một phần:

Vì khách hàng có thể trình bày một cách khác server_name trong giao thức ứng dụng, máy chủ ứng dụng triển khai dựa trên những tên này giống nhau PHẢI kiểm tra để đảm bảo rằng khách hàng không xuất hiện một tên khác trong giao thức ứng dụng.

Làm thế nào các máy chủ web thực sự làm điều này có thể khác nhau. Cả Apache và nginx đều từ chối hoàn toàn các kết nối như vậy, mặc dù điều kỳ lạ là Apache có một tùy chọn để tắt tính năng này. Không biết IIS làm gì, nhưng hy vọng nó lành mạnh. Bạn có thể dễ dàng kiểm tra nó cho mình.

lá cờ br
Điều khoản "dựa vào những tên này giống nhau" đang làm rất nhiều việc ở đây. Hoàn toàn có thể bỏ qua tên từ SNI và chỉ xử lý tiêu đề `Host:` để triển khai tuân thủ và tôi kỳ vọng rằng đây là tiêu chuẩn với các cổng TLS chuyên dụng nơi kết nối TLS thậm chí không đến được máy chủ.
Michael Hampton avatar
lá cờ cz
@SimonRichter Ngoài các vấn đề bảo mật, HTTP/2 còn vi phạm theo nhiều cách khác nhau và tinh vi trong trường hợp này.
lá cờ br
Vấn đề bảo mật duy nhất là nếu bạn sử dụng SNI để phân phối lưu lượng trên nhiều máy, bạn có thể gửi yêu cầu đến một máy không có tên máy chủ cụ thể được định cấu hình, đó là mối đe dọa khá thấp (nhưng khó chống lại nhất) . Nếu cùng một máy chấm dứt TLS và xử lý yêu cầu, việc loại bỏ tên khỏi SNI sẽ không làm lộ thêm bất kỳ bề mặt tấn công nào -- tất cả những gì bạn có thể làm là nói chuyện với máy chủ mà bạn cũng có thể nói chuyện bằng cách sử dụng đúng tên trong SNI.

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.