Não é possível desativar acessos não-SNI ao host SSL padrão

3

Eu estou executando aqui um site multi-tenant com vhosts no Apache 2.4.10 em Jessie.

Estou tentando desativar a possibilidade de clientes não-SNI acessarem (o padrão) o site SSL.

Para isso, configurei em /etc/apache2/mods-available/ssl.conf

SSLStrictSNIVHostCheck On

Do arquivo:

SSLStrictSNIVHostCheck : Whether to forbid non-SNI clients to access name based virtual hosts.

No entanto, depois de reiniciar apache , os clientes não-SNI ainda poderão acessar o host SSL padrão.

Por exemplo, isso ainda funciona:

openssl s_client -connect localhost:443 

Da mesma forma, tentando acessar um vhost sem SNI, usando

openssl s_client -connect domain.com:443 

ainda retorna o domínio SSL padrão, whist acessando o mesmo host com o SNI:

openssl s_client -connect domain.com:443 -servername domain.com

retorna a página apropriada do vhost.

Eu também tentei colocar a diretiva SSLStrictSNIVHostCheck On no vhost SSL padrão sem sucesso.

Eu estou sentindo falta de algo óbvio?

    
por Rui F Ribeiro 17.03.2017 / 01:43

0 respostas