[gull] HTTPS en home hosting - restreindre la diffusion du certificat X.509
Frederic Dumas
f.dumas at siteparc.fr
Wed Apr 4 19:00:21 CEST 2018
Merci Marc pour ta réponse.
> Donc, il est autorisé d'aborter la négociation TLS/SSL si le nom indiqué
> dans SNI n'est pas reconnu.
> Cependant, Apache2 semble avoir une configuration: SSLStrictSNIVHostCheck
> qui permet de restreindre les clients non SNI,
Ce que tu décris semble répondre à ce que je cherche.
Voudrais-tu m’aider à re-écrire mon fichier de configuration pour passer à SNI ?
> Cela n'empêchera pas l'énumération, en
> particulier si un scan du DNS a été fait et une liste de tous les
> domaines hébergés par une adresse IP construite[4], mais au moins
> l'énumération du certificat ne sera pas possible sans l'énumération
> du DNS au départ.
Je ne comprends pas bien, dès lors qu’on a pris soin de ne pas enregistrer de résolution inverse pour cette IP dans le DNS, de quel énumération veux-tu parler ?
Frédéric.
More information about the gull
mailing list