无法禁用对默认 SSL 主机的非 SNI 访问

无法禁用对默认 SSL 主机的非 SNI 访问

我在这里运行一个多租户网站,在 Jessie 的 Apache 2.4.10 中使用虚拟主机。

我正在尝试禁用非 SNI 客户端访问(默认)SSL 站点的可能性。

为此我设置了/etc/apache2/mods-available/ssl.conf

SSLStrictSNIVHostCheck On

从文件中:

SSLStrictSNIVHostCheck :是否禁止非 SNI 客户端访问基于名称的虚拟主机。

但是,重新启动后apache,非SNI客户端仍然能够访问默认的SSL主机。

例如,这仍然有效:

openssl s_client -connect localhost:443 

同样,尝试访问没有 SNI 的虚拟主机,使用

openssl s_client -connect domain.com:443 

仍然返回默认的 SSL 域,同时使用 SNI 访问同一主机:

openssl s_client -connect domain.com:443 -servername domain.com

从虚拟主机返回适当的页面。

我还尝试将该SSLStrictSNIVHostCheck On指令放入默认的 SSL 虚拟主机中,但无济于事。

我错过了一些明显的事情吗?

相关内容