SSL Proxy Feature

[Master One]

Hallo Leute!

Ich bin auf dieses Projekt über das Hetzner Forum gestoßen, und ich muß sagen, sehr beeindruckend! Keine Ahnung wie ich das bei meiner Suche nach einem freien Hosting-Panel übersehen konnte. Ich habe derzeit eine Testinstallation mit ISPConfig 3 am Laufen, bin damit aber nicht so recht glücklich, weswegen ich es wohl mal mit ispCP Omega versuchen werden.

Mein erstes Anliegen wäre die Implementierung eines SSL Proxy Features. Laut diesem Thread ist sowas ja offenbar schon für die nächste Version geplant.

Im IPv4 Adressraum wird es langsam eng, zusätzliche Subnetze kosten Geld, ebenso die SSL Zertifikate, deswegen ist es eine logische Schlussfolgerung, es zu ermöglichen, mit einer IP Adresse und nur einem SSL Zertifikat gleich einer ganzen Reihe an gehosteten Sites den sicheren Zugang zu gewähren, was folgendermaßen aussieht:

https://ssl.masterdomain.tld/www.domain.tld/

statt

https://www.domain.tld

Dieses "Shared SSL" kennt man ja eigentlich von den diversen ISPs, weswegen es mich auch wundert, daß dieses Feature bei keinem der freien Hosting-Panels zu finden ist.

Ein möglicher Lösungsansatz, über den ich schon im letzten Jahr gestoßen bin, sieht folgendermaßen aus:

Code:

RewriteLock     /var/lock/rewrite.lock

<VirtualHost 999.888.777.666:443>
  DocumentRoot "/home/www/web1/html/sslproxy"
  ServerName ssl.domain.de
  SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
  SSLCertificateFile /etc/httpd/ssl.crt/server.crt
  SSLCertificateKeyFile /etc/httpd/ssl.key/server.key
  SSLEngine on
  # Rewrite-Engine einschalten fuer Umschreiben der URL
  RewriteEngine   on
  # Logging ausschalten mit folgenden Zeilen:
  #RewriteLog     /dev/null
  #RewriteLog     0
  RewriteLog      /var/log/httpd/sslproxy.log
  RewriteLogLevel 1
  RewriteMap      lowercase       int:tolower
  RewriteRule     ^/icons/(.+)  -                               [L]
  # Fuer MS Internet Explorer ab Version 6
  RewriteRule     ^/w3c/(.+)      -                               [L]
  # Kundendomain in Kleinbuchstaben umwandeln (fuer Datenbank-Lookup)
  RewriteRule     ^/([^/]+)/(.*)  /${lowercase:$1}/$2             [S=1]
  RewriteRule     ^/(.*)          /${lowercase:$1}
  # Wenn der Host noch nicht mit ssl.domain.de übereinstimmt dann leite weiter
  RewriteCond %{HTTP_HOST}                !^ssl.domain.de$
  RewriteRule     ^/(.*)                  https://ssl.domain.de/%{HTTP_HOST}/$1    [R]
  # Per Proxy Verbindung zu http://kundendomain/... aufbauen.
  RewriteRule     ^/(.*)                  http://$1               [P,L]

</VirtualHost>

Kann man das auf die Schnelle irgendwie in eine ispCP Omega Installation integrieren, oder heißt es auf die nächste Version zu warten?

P.S. Um nicht auf Deutsch/Englisch doppelt zu posten, wenn man beider Sprachen mächtig ist, besser hier posten, oder in der englischen Support Area? Anhand der Anzahl der Postings ist das deutsche Forum ja meilenweit über allen anderen.

[rbtux]

Das hauptsächliche Problem das einer Implementierung im Weg steht ist FastCGI / Suexec...

IMHO kannst du keinen globalen VirtualHost einrichten, welcher dann Dateien aller User ausliefert, ohne die ganze Suexec Geschichte zu spühlen...


Das Argument mit den IP-Adresse sollte ja kein Argument sein als ISP. Keine IPs mehr? neue beantragen... Der Kunde muss das halt auch entsprechend bezahlen.


Seriöse Kunden möchten auch kein Link z.B. zur Billingsite à la ssl.provider.tld/supersicher/billing.php...

Das macht einen unprofessionellen Eindruck...

---

PS: Mit den immer neuen "Sicherheitsfeatures" in den Browser fragte ich mich gerade wielange es noch geht, bis bei einer solchen Seite eine Meldung kommt "Achtung Fisching !Sic versuch"

PS2: Um IP Adressen (nicht aber Zertifikate) zu sparen kannst du dir auch mal mod_tls anschauen... (Client muss SNI fähig sein..)

[Master One]

Ok, neuer Ansatz: Implementierung auf Subdomainbasis, d.h. ein Client erstellt für seine Domain example.tld eine Reihe an Subdomains (sub1.example.tld, sub2.example.tld, sub3.example.tld), und möchte dann lediglich ein SSL Cert zur Sicherung aller Subdomains benutzen (also gemäß https://ssl.example.tld/sub1.example.tld/). Also ein SSL Proxy Feature als Ersatz für ein Wildcard-Cert.

Wäre das denn machbar?

[rbtux]

Das sollte problemlos möglich sein...

[Master One]

Wie würde man das am besten lösen?

Wie sieht das angekündigte SSL Proxy Feature in ispCP Omega 1.0.1 dann aus (oder wurde die Idee wegen dem erwähnten Problem mit FastCGI / Suexec wieder fallen gelassen)?

[rbtux]

Soweit ich informiert bin, wurde nie offiziell ein SSL Proxy angekündigt...

Was angekündigt wurde ist:
Panel via SSL
User via SSL (Mit eigener IP/Zertifikat)

Ich gehe davon aus, dass dies auch so umgesetzt wird.


Hmm ich habe soeben dein Snippet angeschaut... Wenn ich das recht sehe dürfte das so funktionieren auch mit SSL Proxy... Ich werde das mal kurz testen...

---

Hmm also dein snippet funktioniert problemlos (natürlich funktionieren seite welche mit abosulten links etc. arbeiten ggf. nicht)


einfach unter /etc/apache2/site-available eine config mit dem snippet als inhalt anlegen...

natürlich muss das proxy modul und das rewrite modul aktiviert sein...


Eine Einschränkung sollte bei der Rewrite Methode eventuell noch gemacht werden... ansonsten können dadurch auch beliebige fremde seiten besucht werden...

[Master One]

Also hier und hier wurde das in dieser Richtung erwähnt, wird dann aber wohl ein Mißverständnis sein.

Leider bin ich kein Rewrite-Profi. Welche Einschränkung wäre denn erforderlich, um diese Methode abzusichern?

[rbtux]

Code:

RewriteCond %{HTTP_HOST}                ^erlaubt.de$

vor der Rewrite Rule

Code:

RewriteRule     ^/(.*)                  https://ssl.domain.de/%{HTTP_HOST}/$1    [R]

[Master One]

Gefällt mir, danke.