Incompatibilidade de nome de host ao conectar ao servidor XMPP?

Question

Incompatibilidade de nome de host ao conectar ao servidor XMPP?

#1 resposta do (3 votos)

1

Eu tenho o seguinte problema: Depois de configurar um servidor Jabber / XMPP de intranet, solicitei um certificado SSL para o meu servidor, para que as pessoas possam se conectar com segurança usando um certificado válido.

O DNS de example.com está configurado para redirecionar

root@dowa-01:/var/log/ejabberd# host -t SRV _xmpp-client._tcp.example.com
_xmpp-client._tcp.example.com has SRV record 5 0 5222 xmpp.example.net.
root@dowa-01:/var/log/ejabberd# host -t SRV _xmpp-client._tcp.example.com
_xmpp-client._tcp.example.com has SRV record 5 0 5222 xmpp.example.net.

O problema é que quando tento me conectar com o cliente XMPP, recebo uma incompatibilidade de nome de host entre example.com e xmpp.example.net?!

Desde que o DNS esteja redirecionando para outro domínio, por que o cliente está perguntando sobre um certificado no domínio original?

Detalhes: o exemplo.net é um domínio usado pela intranet corporativa, a maioria das coisas internas estão nele. Obviamente, as pessoas devem fazer login com seu endereço de e-mail e senha de domínio.

Como devo resolver este problema? Tenho certeza de que o Security não me fornecerá um certificado de domínio raiz para o domínio público.

Assumi que apontar o DNS funcionaria, mas parece que não funciona.

Alguma solução alternativa?

ssl tls xmpp

por sorin 28.02.2014 / 14:16

1 resposta

Tags ssl tls xmpp

Como executar vários comandos script ssh bash [closed] Comparando 2 arquivos CSV na diferença de exportação do powershell para outro arquivo

score 3 · Accepted Answer

Sim, você precisa de um certificado para example.com , sendo válido para xmpp.example.net não importa. Isso ocorre porque o DNS é considerado não confiável: seria muito fácil detectar o registro SRV para apontar para um servidor mal-intencionado, para o qual um invasor pode ter um certificado válido e confiável.

Existem algumas soluções propostas para esse problema (incluindo DANE e POSH), mas nenhuma delas é suportada atualmente pelos clientes. As únicas soluções são: 1) fazer com que todos aceitem a incompatibilidade de certificados, 2) usar xmpp.example.net como seu domínio XMPP ou 3) convencer a segurança de que você precisa de um certificado para example.com.