На работе меня попросили добавить поддержку сопоставления нескольких ключей с одним (или даже несколькими) IP-адресами, что по сути является пассивным сниффером HTTP. Он поддерживает расшифровку SSL с ключами, загруженными пользователем. В настоящее время он поддерживает сопоставление одного IP-адреса с одним ключом или отображение одного IP-адреса на несколько ключей. Проблема заключается в уведомлении об этом. В настоящее время мы отправляем ловушки SNMP и / или электронную почту, если ключ больше не работает. При сопоставлении «многие ко многим» у меня не будет способа узнать, вызвана ли ошибка модулем, который изменился для одного из сопоставленных ключей (следовательно, изменился ключ), или это просто дополнительный ключ, который был добавлен, или системный администратор не заинтересован в расшифровке. Основная проблема здесь, потому что способ ее реализации, если не разрешена полная перезапись, также нарушит текущее уведомление для однозначного сопоставления IP / ключа.
Я думаю, что это неправильно, и вот мой аргумент. Может ли кто-нибудь помочь мне поддержать этот спор с начальством? Или, если я ошибаюсь, покажите, пожалуйста, в чем моя ошибка в рассуждениях.
Эта функциональность необходима, потому что, по-видимому, существует вариант использования, когда несколько узлов в веб-приложении используют разные ключи, даже если все они сопоставлены с одним VIP. Человек, запрашивающий эту функцию, настаивает, что видел ее в действии в клиентской среде. Я хотел бы подтвердить, что это ошибочное наблюдение, но у меня нет tcpdump, чтобы сделать это. Я утверждаю, что для одного IP-адреса согласование SSL всегда будет отправлять один и тот же сертификат, и, следовательно, будет использоваться один и тот же ключ, потому что HTTPS еще не был сделан, он знает только соединение с IP, не знает, какой хост : header присутствует на этом этапе для веб-приложения / сервера, чтобы определить, какое приложение ответит. Таким образом, на мой взгляд, такого варианта использования быть не может. Существует ли балансировщик нагрузки, который может позволить вам поставить два ключа на один VIP?
Кроме того, даже если бы это было возможно, в зависимости от того, как работает согласование SSL, не было бы возможности контролировать получение конечным пользователем правильного сертификата. По сути, это будет некачественная установка. Я не могу придумать допустимого варианта использования для этого, где это не повлекло бы за собой случайных ошибок несоответствия SSL на стороне клиента.
Итак, я с ума сошел, думая, что это не то, что нужно поддерживать? Если это так, мне бы хотелось знать, когда несколько ключей, сопоставленных с одним IP-адресом, являются допустимым вариантом использования. Если нет, просьба представить дальнейшие конструктивные аргументы в этой связи - поскольку я не добился успеха с приведенными выше аргументами. Ответы на данный момент звучат так: «Это не наша проблема, если системный администратор некомпетентен, мы должны его поддержать».
изменить: я нарушил заголовок
Индикация имени сервера - это дополнение к SSL / TLS, где клиент может указать, какое имя хоста он ищет во время первоначального рукопожатия, перед передачей заголовков HTTP-запросов, которые обычно сообщают серверу, какой хост используется. Затем сервер может выбрать, какой сертификат представить, на основе этой информации.
Он не очень широко используется из-за отсутствия поддержки со стороны Windows XP, но большинство других комбинаций ОС / браузера поддерживают его на данный момент, как и большинство основных веб-серверов (но не IIS), ожидают, что он будет увеличиваться в развертывание после того, как XP окончательно исчезнет.
Итак, к сожалению для ваших нужд, действительно есть случаи, когда один IP-адрес будет предоставлять несколько разных сертификатов клиентам HTTPS.