我最近将一个带有小商店的WordPress网站从托管提供商转移到了我自己的运行Ubuntu Server 12.04.2 LTS和Apache 2.2.22的服务器上。我要求商店使用SSL。我在服务器的新IP上设置了几个简单的虚拟主机,一个绑定到特定IP的端口80,另一个绑定到端口443。在vhost配置中都有ServerName www.example.com和ServerAlias example.com。我有SSLStrictSNIVHostCheck off。
该站点运行速度非常慢,但是正在运行。我在错误日志中得到以下内容。
[Error] Hostname example.com provided via SNI and hostname www.example.com provided via HTTP are different
我希望速度慢与上述消息有关。有什么想法为什么会出现以及我能做什么呢?
Answers:
查看您的访问日志(而不是错误日志)。通过错误的时间和日期,您应该能够确定有问题的请求并找出用户代理。就我而言,它是一个机器人:
"Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; InfoPath.2)"
我的服务器使用HTTP 400回答:错误的请求。
除非我弄错了,否则在TLS协商中,客户端会发送两次主机名:一次在SNI(服务器名称指示)中建立SSL连接之前,一次在实际HTTP请求中之后。如果服务器名称不匹配,则表明客户端已损坏,并且与服务器的配置无关。
也许他们有一天会修复自己的机器人,同时您可能会忽略它。我怀疑这会导致主机运行缓慢,除非请求的发送速度很高。
某些客户端可能会故意引发此错误,以测试服务器的漏洞。我发现来自的请求researchscan367.eecs.umich.edu触发了我维护的服务器上的错误。在这种情况下,发生错误是一件好事。
我很好奇可能发生哪种攻击,并在安全堆栈交换上问了这个问题:Apache2的错误代码AH02032可以阻止哪种攻击?
乍一看听起来像是客户端问题...哪个浏览器引起了此问题?
该消息表明,在SSL层建立后,客户端在ssl connectionsetup期间发送的主机名与客户端在HTTPS请求中发送的主机名不同。
就我而言,创建带有下划线的新虚拟主机就是问题。我有一个通配符SSL证书。
没用:
<VirtualHost *:443>
SSLEngine on
ServerName sub_domain.example.com
Redirect / https://www.example.com/restofmyredirectlink
</VirtualHost>
尽管Apache确实成功重启,但出现HTTP 400错误。在错误日志中:
[Wed Sep 05 11:28:00.349960 2018] [ssl:error] [pid 19906:tid 140392626808576] AH02031: Hostname sub_domain.example.com provided via SNI, but no hostname provided in HTTP request
但是删除下划线是可行的:
<VirtualHost *:443>
SSLEngine on
ServerName subdomain.example.com
Redirect / https://www.example.com/restofmyredirectlink
</VirtualHost>