Moin Moin!

dank Microsoft ist allerdings vermutlich noch lange nicht an einen Einsatz zu denken, der Internet Explorer unter Windows XP in egal welcher Version erhält dafür keinen Patch.

Ich erinnere mich noch an die ersten Webserver, die Name-based VHosts anboten. Wenn man da mit einem alten HTTP/1.0-Client aufschlug, bekam man nur die freundliche Mitteilung, dass man sich doch besser einen HTTP/1.1-Client suchen sollte.

Die gibt's übrigens immer noch, z.B. bei Strato:

echo -en "GET / HTTP/1.0\r\n\r\n" | nc antbase.net 80
HTTP/1.1 200 OK
Date: Fri, 02 Dec 2011 09:02:51 GMT
Server: Apache/2.2.21 (Unix) mod_ssl/2.2.21 OpenSSL/0.9.8r
Last-Modified: Wed, 22 Sep 2004 15:30:14 GMT
ETag: "bd18-3de-3e4af6c172d80"
Accept-Ranges: bytes
Content-Length: 990
Connection: close
Content-Type: text/html

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2 Final//EN">
<HTML>
 <HEAD>
  <TITLE>Bitte benutzen sie nicht die IP Adresse des Servers</TITLE>
 </HEAD>
<!-- Background white, links blue (unvisited), navy (visited), red (active) -->
 <BODY
  BGCOLOR="#FFFFFF"
  TEXT="#000000"
  LINK="#0000FF"
  VLINK="#000080"
  ALINK="#FF0000"
 >
<BR><BR><BR><BR>
  <H1 ALIGN="CENTER">
    Bitte benutzen sie nicht die IP Adresse des Servers, sondern immer
    www.&lt;Wunschname&gt;.de !!
  </H1>
  <HR>
  <DIV ALIGN="CENTER">
   <TABLE BORDER="0">
     <TR>
       <TD ALIGN="center" colspan=2>
           <A HREF="http://www.wunschname.de"><IMG SRC="http://www.strato.de/setup/images_setup/visual.gif" BORDER="0" ALT="www.WUNSCHNAME.de"></A>
       </TD>
     <TR></TR>
       <TD ALIGN="center">
           <A HREF="http://www.strato.de"><IMG SRC="http://www.strato.de/images/wir/navlinks/a.gif" HEIGHT="149" BORDER="0" ALT="STRATO AG"></A>
       </TD>
     </TR>
   </TABLE>
  </DIV>
 </BODY>
</HTML>

(Und natürlich ist die Meldung von Stato technisch gesehen Quatsch, denn das Problem ist nicht die IP-Adresse des Webservers, sondern die Tatsache, dass der Client keinen Host-Header mitgeschickt hat.)

Warum also soll man das für SSL nicht genauso machen?

Bei tiggersWelt.net wird ein Standard-Zertifikat ausgeliefert, dass nicht zur angeforderten Domain paßt und damit eine Warnung provoziert.

Zitat: "Sofern der Client bzw. Browser keinen SNI-Support bietet, wird bei tiggersWelt.net das Standard-Zertifikat für ssl.tiggerswelt.net ausgeliefert, was in der Regel mit einer Warnung („CommonName stimmt nicht mit dem Hostname überein“) quittiert wird. Die Verbindung bleibt aber weiterhin verschlüsselt."

Es sollte möglich sein, in genau diesem Fall (SNI-unfähiger Client) nicht auf den eigentlich angeforderten Name-based VHost zuzugreifen, sondern stumpf wie oben eine Warnseite auszuliefern. Ob SNI benutzt wurde oder nicht, weiß der Webserver lange bevor die Regeln für die VHosts ausgewertet werden, also kann diese Information in die Entscheidung mit einfließen. Um die CommonName-Warnung kommt man damit natürlich nicht herum, aber anschließend kann man den Benutzer aufklären, dass er mit veralteter Software unterwegs ist.

Wer mag, kann dann noch den Browser erraten und beim vermutlich häufigsten Problem Internet Explorer auf altem Windows zu alternativen Browsern raten.

Alexander