Incompatibilidade de nome de host ao conectar ao servidor XMPP?

1

Eu tenho o seguinte problema: Depois de configurar um servidor Jabber / XMPP de intranet, solicitei um certificado SSL para o meu servidor, para que as pessoas possam se conectar com segurança usando um certificado válido.

O DNS de example.com está configurado para redirecionar

root@dowa-01:/var/log/ejabberd# host -t SRV _xmpp-client._tcp.example.com
_xmpp-client._tcp.example.com has SRV record 5 0 5222 xmpp.example.net.
root@dowa-01:/var/log/ejabberd# host -t SRV _xmpp-client._tcp.example.com
_xmpp-client._tcp.example.com has SRV record 5 0 5222 xmpp.example.net.

O problema é que quando tento me conectar com o cliente XMPP, recebo uma incompatibilidade de nome de host entre example.com e xmpp.example.net?!

Desde que o DNS esteja redirecionando para outro domínio, por que o cliente está perguntando sobre um certificado no domínio original?

Detalhes: o exemplo.net é um domínio usado pela intranet corporativa, a maioria das coisas internas estão nele. Obviamente, as pessoas devem fazer login com seu endereço de e-mail e senha de domínio.

Como devo resolver este problema? Tenho certeza de que o Security não me fornecerá um certificado de domínio raiz para o domínio público.

Assumi que apontar o DNS funcionaria, mas parece que não funciona.

Alguma solução alternativa?

    
por sorin 28.02.2014 / 14:16

1 resposta

3

Sim, você precisa de um certificado para example.com , sendo válido para xmpp.example.net não importa. Isso ocorre porque o DNS é considerado não confiável: seria muito fácil detectar o registro SRV para apontar para um servidor mal-intencionado, para o qual um invasor pode ter um certificado válido e confiável.

Existem algumas soluções propostas para esse problema (incluindo DANE e POSH), mas nenhuma delas é suportada atualmente pelos clientes. As únicas soluções são: 1) fazer com que todos aceitem a incompatibilidade de certificados, 2) usar xmpp.example.net como seu domínio XMPP ou 3) convencer a segurança de que você precisa de um certificado para example.com.

    
por 30.04.2014 / 11:08

Tags