SSL Zertifikat wird auf falschen Seiten ausgeliefert

[Bruderflexo]

Hallo zusammen,

ich habe ein (hoffentlich) kleines Problem. Ich habe eine Multiserver (ISPConfig Master/Slave) Konfiguration auf Ubuntu mit Apache 2.2.22.

Nun habe ich auf dem Slave folgendes gemacht. Zunächst habe ich eine Seite mit SSL ausgestattet durch ein selber signiertes Zertifikat. Ganz normal über das ISPConfig frontend. Danach habe ich noch eine zweite Domain mit SSL und einem Zertifikat ausgestattet, ebenfalls selbst signiert. Hat auch alles bis dahin wunderbar funktioniert. Später habe ich Scherzes halber eine dritte Domain mit https aufgerufen, dabei musste ich dann feststellen, dass diese mein erstes Zertifikat ausliefert. Ich hätte an dieser Stelle erwartet, dass dies nicht funktioniert. Besonders in einer Produktiv-Umgebung kann dies zu einigen Verwirrungen führen. Ich habe es mit weiteren Domains auf dem Server versucht, dass Resultat war immer das gleiche, war kein SSL aktiviert, lieferte mir die Seite das Zert von der ersten Domain zurück.

Frage: Was könnte ich falsch gemacht haben?

Ich hab mir schon die vhosts angeschaut aber habe darin nichts gefunden was zu dem ganzen führt. Weiterhin habe ich alle Domains statt mit der Wildcard ipv4 mit der richtige ipv4 noch ausgestattet, da er mir sonst auch falsche Seiten (von anderen vhosts) angezeigt hat.

Ich hab Forum bereits nach einem passenden Thread gesucht aber nichts gefunden. Falls ihr bereits etwas passendes habt bitte posten, danke. Solltet euch eine Information fehlen bitte Fragen.

Vielen Dank bereits im voraus
Bruderflexo

 

[nowayback]

hi,

mit welchem Browser auf welchem OS hast du das getestet?

Gibt es bei dir irgendwo aufm Server noch default ssl einträge (_default_:443)? Wenn ja, was passiert, wenn du die spaßenshalber mal ausdokumentierst?

Grüße
nwb

 

[Till]

SSL ist ein IP zentriertes Protokoll, wenn Du also Seiten mit und ohne SSL auf der selben IP hast und eine Webseite hat kein SSL, dann wird der Inhalt der Seite angezeigt welche SSL aktiviert hat und als erste im Alphabet kommt.

Dem Problem kannst Du dadurch begegnen indem Du alle Webseiten mit SSL auf dedizierten IP's hast oder im Fall von SNI dass e keine Webseite ohne aktiviertes SSL auf der IP gibt. Für Seiten ohne SSL verwendest Du eine andere IP Adresse. Beispel:

192.168.0.100 = alle Seiten mit aktiviertem SSL
192.168.0.101 = alle Seiten ohne SSL.

 

[Bruderflexo]

Hallo Till, hallo nowayback

@Till: danke für deine Antwort. Die hat mir schon einmal sehr weiter geholfen.

Eine Frage hätte ich aber noch gäbe es nicht die Möglichkeit bei nicht Vorhandensein eines Zertifikat oder bei Deaktivierung von SSL, dass die default-ssl vhost von Apache greift? Das sollte doch dazu führen, dass ein default Zertifikat ausgeliefert wird, oder?

Hat das jemand schon mal hin bekommen?

Viele Grüße
Bruderflexo

 

[Till]

Der erste vhost in alphabetischer Reihenfolge ist für apache quasi der default vhost. Wenn Du eine bestimmte Seite als default vhost haben möchtest dann must Du also sicherstellen dass sie als erstes im alphabet kommt.

Erstelle mal eine neue Seite mit folgender Domain "000default.tld", Einstellungen wie aut subdomain etc. lässt Du so wie sie standardmäßig sind, Du musst nur ssl aktivueren und auch ein ssl cert in der Seite erzeugen. Du kannst die Domain genuso übernehmen wie ich sie geschrieben habe, die Domain muss nicht im DNS existieren.

 

[Bruderflexo]

Super, danke werde ich gleich mal ausprobieren. Wird sicher funktionieren .

Von meiner Seite aus kann der Thread geschlossen werden.