Eu tenho vários sites configurados no IIS 6 com cabeçalhos de host. Um desses sites tem um certificado SSL instalado. Portanto, agora, se qualquer um dos sites não habilitados para SSL for solicitado com HTTPS, ele carregará o site habilitado para SSL e fornecerá um aviso de segurança.
Como posso impedir que os sites não SSL carreguem qualquer coisa, se eles forem solicitados com https? Eu preferiria que fosse lançada a mensagem padrão "Servidor não encontrado". Isso é possível?
A única maneira de conseguir isso com o IIS 6 é colocar o site SSL ativado em seu próprio endereço IP e configurar o IIS para não escutar na porta 443 do endereço IP principal.
Em SSL (sem Server Name Indication - ainda não suportado pelo IIS), o cliente valida o certificado do servidor antes dele envia o nome do host solicitado para o servidor. O servidor tem que escolher um certificado para enviar com base apenas no endereço IP.
Não é verdade.
Use o host de cabeçalho para ssl e especifique apenas para o site habilitado para SSL com o cabeçalho de host correto.
cscript.exe adsutil.vbs set / w3svc // SecureBindings ": 443: www.yourcustomer.com"
Tags ssl https iis-6 host-headers