我在这里运行一个多租户网站,在 Jessie 的 Apache 2.4.10 中使用虚拟主机。
我正在尝试禁用非 SNI 客户端访问(默认)SSL 站点的可能性。
为此我设置了/etc/apache2/mods-available/ssl.conf
SSLStrictSNIVHostCheck On
从文件中:
SSLStrictSNIVHostCheck :是否禁止非 SNI 客户端访问基于名称的虚拟主机。
但是,重新启动后apache,非SNI客户端仍然能够访问默认的SSL主机。
例如,这仍然有效:
openssl s_client -connect localhost:443
同样,尝试访问没有 SNI 的虚拟主机,使用
openssl s_client -connect domain.com:443
仍然返回默认的 SSL 域,同时使用 SNI 访问同一主机:
openssl s_client -connect domain.com:443 -servername domain.com
从虚拟主机返回适当的页面。
我还尝试将该SSLStrictSNIVHostCheck On指令放入默认的 SSL 虚拟主机中,但无济于事。
我错过了一些明显的事情吗?