Вибір сертифіката SSL на основі заголовка хоста: чи можливо?

Чи можливо веб-серверу вибрати сертифікат SSL для використання на основі заголовка хоста вхідного з'єднання, або це інформація, яка доступна лише після встановлення з'єднання SSL?

Тобто, чи може мій веб-сервер вказаний на порт 443 та використовувати сертифікат foo.com, якщо запитується https://foo.com , та сертифікат bar.com, якщо запитується https://bar.com або я намагаюся це зробити щось неможливе, тому що сервер повинен встановити SSL-з'єднання, перш ніж він знатиме, що хоче клієнт?

Історично ваше перше твердження є точним. Зараз є кілька варіантів:

• Сертифікат підстановки, якщо субдомени в межах одного домену.
• Сертифікат SAN / UCC, щоб вказати альтернативні імена для сертифіката, таким чином, зможе обслуговувати кілька сертифікатів.
• SNI був введений для встановлення з'єднання SSL після заголовка хоста. Однак ця підтримка обмежена, оскільки вона є новішою.

На це я неодноразово відповідав на сервері ServerFault і іншими людьми. Я б запропонував шукати більш детальну інформацію, якщо у вас немає конкретного питання.

Щоб розширити відповідь Уорнера: на сторінці CAcert Vhost Task Force порівнює кілька методів використання декількох доменів на одному сервері. Я особисто використовую вказівку імені сервера .

Коротка відповідь: ні

HTTP інкапсульований всередині SSL , тому будь-яка інформація про запит недоступна, поки з'єднання не буде встановлено. Отже, поки клієнту не видали сертифікат . Ні в якому разі не можна використовувати заголовки та будь-яку іншу зашифровану інформацію, оскільки вони все ще недоступні.

EDIT: це правда, якщо ви хочете, щоб у наш час перехресний веб-переглядач і повністю портативний. За словами інших, існують нові методи, що дозволяють зробити це найближчим часом.

чи це інформація, яка доступна лише після встановлення з'єднання SSL?

Правильно. З'єднання SSL встановлюється до відправлення будь-якої частини HTTP-запиту (включений заголовок хоста).