Default "SSL-Seite", wenn nur IP-Adresse eingegeben wurde?

Debian macht sich hervorragend als Web- und Mailserver. Schau auch in den " Tipps und Tricks"-Bereich.
Antworten
Benutzeravatar
petrolman
Beiträge: 65
Registriert: 20.05.2010 14:54:22

Default "SSL-Seite", wenn nur IP-Adresse eingegeben wurde?

Beitrag von petrolman » 26.06.2024 19:12:19

Hallo,

ich habe in meiner default-ssl.conf mehrere virtuelle Hosts definiert, wofür auch Zertifikate eingerichtet sind. Aber wie muss denn der virtuelle Host aussehen für Leute, die nur die IP-Adresse eingeben (https://ip-adresse) Ich würde da gerne eine geile Landingpage hinterlegen. Denn im Moment gibt es im Browser eine Warnmeldung (SSL_ERROR_BAD_CERT_DOMAIN). Ich glaube, Apache nimmt dann die Domain, die bei der IP-Adresse als PTR hinterlegt ist. Hier würde ja theoretisch ein virtueller Host mit Redirect auf http://ip-addresse genügen, da ja eh kein Zertifikat angelegt werden kann. Und unter http://ip-addresse habe ich eine Standardseite. Die virtuellen Host beginnen bei alle mit der IP-Addresse des Servers.

Code: Alles auswählen

<IfModule mod_ssl.c>
[hier VirtualHost für alles Unbekannte?]
<VirtualHost ip-adresse:443>
   ServerAdmin webmaster@example.com
   ServerName sub1.example.com
   [...]

<VirtualHost ip-adresse:443>
   ServerAdmin webmaster@example.com
   ServerName sub2.example.com
   [...]

Benutzeravatar
schorsch_76
Beiträge: 2601
Registriert: 06.11.2007 16:00:42
Lizenz eigener Beiträge: MIT Lizenz

Re: Default "SSL-Seite", wenn nur IP-Adresse eingegeben wurde?

Beitrag von schorsch_76 » 26.06.2024 22:02:09

Das Zertifikat sagt ja das das die Seite debianforum.de ist. Da prüft der Browser das die URL des Zertifikates und die geladene Seite übereinstimmt. Ergo: IP + SSL Zertifikat schließt sich aus ....

https://www.ssl.com/de/faq/ssl-tls-zert ... bestellen/

Benutzeravatar
heisenberg
Beiträge: 4123
Registriert: 04.06.2015 01:17:27
Lizenz eigener Beiträge: MIT Lizenz

Re: Default "SSL-Seite", wenn nur IP-Adresse eingegeben wurde?

Beitrag von heisenberg » 27.06.2024 01:44:13

petrolman hat geschrieben:Denn im Moment gibt es im Browser eine Warnmeldung (SSL_ERROR_BAD_CERT_DOMAIN).
Das wird immer der Fall sein, da Zertifikate auf Domainnamen und nicht auf IP-Adressen ausgestellt werden (Gehen tut das, aber wird eigentlich so gut wie nie verwendet). Also wirst Du immer einen Zertifikatsfehler bekommen, weil Browser-URL (=IP-Adresse) nicht mit dem Zertifikats-CN (=Domain) übereinstimmt.
Apache nimmt dann die Domain, die bei der IP-Adresse als PTR hinterlegt ist.
Apache nimmt den ersten SSL-VHost. Wie der bestimmt wird, kann ich Dir auch nicht genau sagen.

Hier steht etwas dazu (nicht gelesen):

httpd.apache.org: An In-Depth Discussion of Virtual Host Matching

Der PTR dürfte keine Rolle spielen.
Ich würde da gerne eine geile Landingpage hinterlegen.
Über HTTP (Port 80) könntest Du das vermutlich so realisieren. Redirect von dort auf einen https-vhost geht natürlich auch.

Code: Alles auswählen

<VirtualHost *:80>
   ServerName 192.168.1.1
   [...]
</VirtualHost>

Antworten