<div dir="ltr">Se è così, OK<div><br></div><div>Ero convinto che la parte con hostname fosse in chiaro e la parte restante dell'url con i path e parametri no.<div><br></div><div>Partivo da questa supposizione con il fatto che navigando su pagine https:// da rete aziendale con un proxy,</div><div>il proxy dovrebbe avere l'hostname in chiaro per risolverlo in maniera autonoma.</div><div><br></div><div>Dai tracciamenti invece vedo che il browser manda CONNECT con hostname in chiaro al proxy, ma ovviamente questo hostname in chiaro si perde dopo il proxy.</div><div><br></div><div>C'è un altro hostname in chiaro durante lo scambio del certificato (HELLO server_name), ma non credo che questo possa servire alla causa.</div><div><br></div><div>Fabio</div></div></div><div class="gmail_extra"><br><div class="gmail_quote">Il giorno 28 dicembre 2015 10:38, Fabrix Xm <span dir="ltr"><<a href="mailto:fabrix.xm@gmail.com" target="_blank">fabrix.xm@gmail.com</a>></span> ha scritto:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">> non ho capito da Paolo perché non possa avere un certificato con dominio pubblico su un server interno.<br>
> Credo che sia così nel 99% dei server web. Il router fa proxy in chiaro verso il server interno che ha il suo certificato.<br>
> Suppongo invece che dovrò avere sul server due VirtualHost con certificato per accedere da IP pubblico e da IP privato.<br>
<br>
</span>Onde siccome la richiesta che arriva dall'esterno sul proxy è cifrata<br>
utilizzando il suddetto certificato, il proxy in questione non puo'<br>
sapere a quale host la richiesta è inidirizzata perchè come si diceva<br>
la richiesta è cifrata col suddetto certificato. Se il proxy non ha il<br>
suddetto certificato non puo' decriptare la richiesta in arrivo per<br>
decidere a chi rigirarla.<br>
<br>
Non so se mi sono spiegato.<br>
<br>
cioè<br>
<br>
Internet -> "sò@ðls#+èWe" -> apache -> certificato -> "GET /<br>
HTTP1.1\nHOST: <a href="http://pippo.com" rel="noreferrer" target="_blank">pippo.com</a>" -> VHost '<a href="http://pippo.com" rel="noreferrer" target="_blank">pippo.com</a>' -> "index.html" -><br>
certificato -> "s0'@#°çé*§°[þ" -> Internet<br>
<br>
se metti il proxy senza certificato<br>
<br>
Internet -> "sò@ðls#+èWe" -> proxy -> wtf? -> errore<br>
<br>
se metti il proxy col certificato e rigiri in chiaro all'interno come<br>
diceva Paolo<br>
<br>
Internet -> "sò@ðls#+èWe" -> proxy -> certificato -> "GET /<br>
HTTP1.1\nHOST: <a href="http://pippo.com" rel="noreferrer" target="_blank">pippo.com</a>" -> host interno che serve <a href="http://pippo.com" rel="noreferrer" target="_blank">pippo.com</a> -><br>
apache -> VHost '<a href="http://pippo.com" rel="noreferrer" target="_blank">pippo.com</a>' -> "index.html" -> propxy -> certificato<br>
-> "s0'@#°çé*§°[þ" -> Internet<br>
<br>
Non so se è chiaro..<br>
<div class="HOEnZb"><div class="h5">_______________________________________________<br>
Lombardia mailing list<br>
<a href="mailto:Lombardia@ml.ninux.org">Lombardia@ml.ninux.org</a><br>
<a href="http://ml.ninux.org/mailman/listinfo/lombardia" rel="noreferrer" target="_blank">http://ml.ninux.org/mailman/listinfo/lombardia</a><br>
</div></div></blockquote></div><br></div>