Eu estou executando aqui um site multi-tenant com vhosts no Apache 2.4.10 em Jessie.
Estou tentando desativar a possibilidade de clientes não-SNI acessarem (o padrão) o site SSL.
Para isso, configurei em /etc/apache2/mods-available/ssl.conf
SSLStrictSNIVHostCheck On
Do arquivo:
SSLStrictSNIVHostCheck : Whether to forbid non-SNI clients to access name based virtual hosts.
No entanto, depois de reiniciar apache , os clientes não-SNI ainda poderão acessar o host SSL padrão.
Por exemplo, isso ainda funciona:
openssl s_client -connect localhost:443
Da mesma forma, tentando acessar um vhost sem SNI, usando
openssl s_client -connect domain.com:443
ainda retorna o domínio SSL padrão, whist acessando o mesmo host com o SNI:
openssl s_client -connect domain.com:443 -servername domain.com
retorna a página apropriada do vhost.
Eu também tentei colocar a diretiva SSLStrictSNIVHostCheck On no vhost SSL padrão sem sucesso.
Eu estou sentindo falta de algo óbvio?
Tags ssl debian apache-httpd