Linux LPIC303対策 Webサーバー

SNIとHSTS

TL;DR

LPIC303試験対策のための記事です。

今回はSNIとHSTSの設定についてのまとめ記事となります。

参考書はこちらです。


SNI(Server Name Indication)

1つのIPアドレスをもつサーバーにおいて、それぞれ別の証明書を持つ複数のドメインに対してSSL/TLS通信を行うための機能です。

上記のような状態が起こりうる場合として、名前ベースのバーチャルホストを利用している場合が挙げられます。

SNIに対応していない環境の場合

クライアントがアクセスしようとしているドメインの情報をやり取りする前に、特定のドメインに対してSSL/TLS通信を確立しようとします。

SSLハンドシェイク時にクライアントから指定されたドメイン名をサーバーは判別できないため、最初に定義されたデフォルトのドメインの証明書で応答してしまう。

SNIに対応している環境の場合

クライアントからアクセスしようとしているドメイン名の情報をあらかじめ受け取り、それに対応した証明書を返すことができる。

SNI未対応ブラウザからの接続を拒否する

/etc/httpd/conf.d/ssl.confSSLStrictSNIVHostCheckディレクティブを追加する。

SSLStrictSNIVHostCheck on

HSTS(HTTP Strict Transport Security)

HTTPアクセス時に自動的にHTTPSにリダイレクトする機能。

平文で通信するHTTPを使用させないための機能ですね。

サーバー側でHSTSの設定は以下のように指定します。

Header set Strict-Transport-Security "max-age=31536000; includeSubDomains"

今回はここまでです。お疲れ様でした。

直近の推し5選!

1
"対話が足りなかった2人の再会の物語" 『君は僕の後悔』 感想 レビュー ネタバレ

みなさんこんばんは。 こんにちは、Kanon です。今回は… しめさば先生の『君は僕の後悔』の感想記事です。 しめさば先生はこれまでにも『ひげを剃る。そして女子高生を拾う』や『きみは本当に僕の天使なの ...

2
"あざとい!重い!最高!" 『隣の席の元アイドルは、俺のプロデュースがないと生きていけない』 感想 レビュー ネタバレ

リンク あらすじ 人生オール80点。 そんな俺が託されたのは、元トップアイドル・香澄ミルの世話だった。 ファン対応がしみつきなかなかクラスに馴染めないミル。 そんな彼女に頼られるうち、俺たちは図らずも ...

3
"運命に抗い続けたその先は…" 『呪われて、純愛。』 感想 ネタバレ レビュー

リンク 二丸先生の他の作品はこちら あらすじ 記憶喪失の湖西廻の前に現れたのは、清純で素朴な美少女、丹沢白雪。 「──私、廻くんと恋人だったの」  白雪はそう言って顔を赤らめ、廻の頬にキスをする。   ...

4
"悪魔に憑かれた青春の行先は…?" 『アオハルデビル』 感想 レビュー ネタバレ

リンク あらすじ その夜、僕の青春は〈炎〉とともに産声をあげた――  スマホを忘れて夜の学校に忍び込んだ在原有葉(ありはらあるは)は、屋上を照らす奇妙な光に気づく。そこで出会ったのは、闇夜の中で燃え上 ...

5
"アイドルの理想と現実を描いた物語" 『きみは本当に僕の天使なのか』 感想 レビュー ネタバレ

こんにちは、Kanon です。今回は… しめさば先生の『きみは本当に僕の天使なのか』の感想記事です。 表紙とタイトルを見るに幻想的な恋の話のように思えるのですが、実はタイトルはそんな幻のようなものでは ...

-Linux, LPIC303対策, Webサーバー
-, , , , ,