seclan のほえほえルーム

| |

OpenSSL 0.9.8f で tls extension の SNI (Server Name Indication、サーバ名指示) 拡張が利用可能に!

・
2007/10/15 []

OpenSSL の version 0.9.8f が公開されました。今回のバージョンでの主要な変更点は次のとおりです。

  • 以前のバージョンであった DTLS (Datagram Transport Layer Security : RFC4347) の非互換性に関する問題が修正され、OpenSSL を使ったサーバが、RFC4347 準拠のクライアントと通信できるようになった。
  • RFC4507 (Transport Layer Security (TLS) Session Resumption without Server-Side State) に対応した。
  • TLS extension への対応。特に SNI (Server Name Indication、サーバ名指示) 拡張が利用可能に。

これらの変更点のうち、TLS extension の SNI (Server Name Indication、サーバ名指示) 拡張が利用可能になった点が重要です。TLS extension の SNI 拡張とは、TLS での通信開始時、接続先に接続したいサーバ名を通知する機能です。今までは、共有サーバで複数のドメインを管理していても、TLS 機能を使用する場合、その証明書は IP アドレスごとに一種類のドメイン用しか提供することができませんでした。なぜならば、サーバ側ではどのドメイン用にクライアントがアクセスしに来ているのかわからなかったからです。今回の機能に対応していれば、接続したいサーバ名をサーバに通知できるので、適切な証明書をクライアントに送ることができます。つまり、一つの固定 IP アドレスで、複数の TLS 対応サイトを構築できるようになります。

この機能自体は、将来公開予定の OpenSSL version 0.9.9 ではすでに実装されていたのですが、version 0.9.8 には実装されていませんでした。今回その機能がバックポートされたと言う形になります。

なおこの機能は標準では有効になっておらず、config 時に enable-tlsext オプションを指定しないと組み込まれないので注意が必要です。

また、現在この機能に対応しているクライアントは、Opera8+、IE7+ (Vista 実行上のみ、XP 上は不可)、Firefox2+ のようです。



by seclan | コメント (0) | トラックバック (0)

関連

コメント

 コメントできる期間はすでに過ぎています。


トラックバック

 トラックバックできる期間はすでに過ぎています。


| |

 

配信

19.12 msec