Adres URL https://www.info.ucl.ac.be/~pvr/ds/ jest chroniony przez TLS. Mozilla Firefox informuje, że jego certyfikat został wydany przez
CN = TERENA SSL CA 2
O = TERENA
L = Amsterdam
ST = Noord-Holland
C = NL
Polecenie „openssl” zgłasza się
$ openssl s_client -connect www.info.ucl.ac.be:443
(skipped)
---
Certificate chain
0 s:/C=--/ST=SomeState/L=SomeCity/O=SomeOrganization/OU=SomeOrganizationalUnit/CN=testwww2.info.ucl.ac.be/[email protected]
i:/C=--/ST=SomeState/L=SomeCity/O=SomeOrganization/OU=SomeOrganizationalUnit/CN=testwww2.info.ucl.ac.be/[email protected]
---
Różni emitenci. Jak to w ogóle jest możliwe?
certificate
openssl
beroal
źródło
źródło
Odpowiedzi:
To naprawdę proste: SNI - Wskazanie nazwy serwera . Jest to rozszerzenie, które pozwala klientowi przekazać nazwę serwera do uzgadniania TLS. To w połączeniu z wirtualnym hostingiem opartym na nazwach (wiele domen na jednym adresie IP) pozwala serwerowi prezentować różne certyfikaty dla różnych nazw hostów. S_client OpenSSL domyślnie nie zawiera nazwy hosta podczas uzgadniania.
Następujące polecenie daje oczekiwany wynik:
Serwer ten najwyraźniej hostuje wiele stron internetowych, z których jedna ( strona domyślna ) jest używana tylko do testowania wewnętrznego, gdzie certyfikaty z podpisem własnym są normalne.
źródło