[gull] HTTPS en home hosting - restreindre la diffusion du certificat X.509
Frederic Dumas
f.dumas at siteparc.fr
Wed Apr 4 16:27:30 CEST 2018
Bonjour à tous,
Pourriez-vous me conseiller une façon de restreindre la diffusion de son certificat X.509 par un serveur web en home hosting ?
La machine héberge quelques applications à usage privé, type NextCloud, tournant sous Apache. Toutes sont accessibles en HTTPS, chacune par son propre sous-domaine.
1er virtual host : https://piero.example.com
2nd virtual host : https://frangin.example.com
3eme virtual host : https://tralala.example.com
Un rewrite dans la configuration d'Apache reformule toute requête HTTP reçue sur le port 80 en requête HTTPS sur le port 443. Un seul certificat wilcard <*.example.com> est installé pour tous les virtual hosts. Le module SNI n’est pas activé. Le reste de l’infrastructure en home hosting est classique: le serveur est accessible depuis l'Internet par un NAT et aucun reverse-DNS n’existe pour cette adresse IP publique. L’accès Internet ne dispose que d’une seule adresse IP publique fixe.
En HTTPS, le certificat X.509 est systématiquement délivré à n’importe quel visiteur, au tout début de la tentative de connexion, même si celui-ci accède au serveur par son adresse IP, ou même si celui-ci forge n’importe quel domaine dans le header de sa requête HTTP (par exemple en enregistrant localement un domaine quelconque fictif pour cette adresse IP dans son fichier host). A ma connaissance, la façon dont sont configurés les virtual hosts n’y change rien.
Par ailleurs, le certificat renferme le nom du domaine pour lequel il a été signé, il dit donc explicitement au visiteur quel domaine correspond à l'adresse IP que celui-ci est en train d'interroger, malgré l’absence d'enregistrement reverse dans les DNS.
J’aimerai mieux sécuriser le serveur contre les balayages d’IP, et lui interdire de communiquer ce certificat X.509 à un visiteur se connectant directement sur son adresse IP ou se connectant en résolvant cette adresse IP à travers un domaine fictif.
Existe-t-il un moyen d’y parvenir ?
Merci !
More information about the gull
mailing list