[Ninux-Lombardia] OpenWRT e VirtualHost proxy (OT)
FabioB
fbettoni a gmail.com
Lun 28 Dic 2015 10:58:33 CET
Se è così, OK
Ero convinto che la parte con hostname fosse in chiaro e la parte restante
dell'url con i path e parametri no.
Partivo da questa supposizione con il fatto che navigando su pagine https://
da rete aziendale con un proxy,
il proxy dovrebbe avere l'hostname in chiaro per risolverlo in maniera
autonoma.
Dai tracciamenti invece vedo che il browser manda CONNECT con hostname in
chiaro al proxy, ma ovviamente questo hostname in chiaro si perde dopo il
proxy.
C'è un altro hostname in chiaro durante lo scambio del certificato (HELLO
server_name), ma non credo che questo possa servire alla causa.
Fabio
Il giorno 28 dicembre 2015 10:38, Fabrix Xm <fabrix.xm a gmail.com> ha
scritto:
> > non ho capito da Paolo perché non possa avere un certificato con dominio
> pubblico su un server interno.
> > Credo che sia così nel 99% dei server web. Il router fa proxy in chiaro
> verso il server interno che ha il suo certificato.
> > Suppongo invece che dovrò avere sul server due VirtualHost con
> certificato per accedere da IP pubblico e da IP privato.
>
> Onde siccome la richiesta che arriva dall'esterno sul proxy è cifrata
> utilizzando il suddetto certificato, il proxy in questione non puo'
> sapere a quale host la richiesta è inidirizzata perchè come si diceva
> la richiesta è cifrata col suddetto certificato. Se il proxy non ha il
> suddetto certificato non puo' decriptare la richiesta in arrivo per
> decidere a chi rigirarla.
>
> Non so se mi sono spiegato.
>
> cioè
>
> Internet -> "sò@ðls#+èWe" -> apache -> certificato -> "GET /
> HTTP1.1\nHOST: pippo.com" -> VHost 'pippo.com' -> "index.html" ->
> certificato -> "s0'@#°çé*§°[þ" -> Internet
>
> se metti il proxy senza certificato
>
> Internet -> "sò@ðls#+èWe" -> proxy -> wtf? -> errore
>
> se metti il proxy col certificato e rigiri in chiaro all'interno come
> diceva Paolo
>
> Internet -> "sò@ðls#+èWe" -> proxy -> certificato -> "GET /
> HTTP1.1\nHOST: pippo.com" -> host interno che serve pippo.com ->
> apache -> VHost 'pippo.com' -> "index.html" -> propxy -> certificato
> -> "s0'@#°çé*§°[þ" -> Internet
>
> Non so se è chiaro..
> _______________________________________________
> Lombardia mailing list
> Lombardia a ml.ninux.org
> http://ml.ninux.org/mailman/listinfo/lombardia
>
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: <http://ml.ninux.org/pipermail/lombardia/attachments/20151228/4fa60a9d/attachment-0001.html>
Maggiori informazioni sulla lista
Lombardia