そういえば昔SSL+Virtual hostの問題があったな †
晴れ。今日も日中はTシャツ1枚で大丈夫なくらい温かい。今日は夕方、ピアニカ持って公園で練習していた。吹いていないはずのラーの音が鳴ってると思ったら蚊に刺された。刺された所を水で洗ったらすぐに痒みが消えた。蚊のかゆかゆ力が落ちてるのを見ると秋を感じるな。
HTTPサーバーの話で、バーチャルホストとSSLは相性が悪い。ブラウザでSSL経由でリソースにアクセスする場合、(1)ドメイン名からIPアドレスを取得→(2)IPアドレスを元にサーバーに接続→(3)SSLネゴシエーション開始→(4)HTMLネゴシエーション開始、の流れになる。サーバーがバーチャルホストで運営している場合、サーバー側では、クライアントがどのホスト名のURIを取得に来たのかは(4)の時点で初めて判明する。複数のホストを持っているサーバーの場合、SSLネゴシエーションの時点ではブラウザがどのホスト宛に問い合わせに来ているのかが判定できないので、ホスト毎にSSL証明書を切り替えて送信する、という事ができない。要するに、1台のサーバーで複数SSLサイトを運営したい場合、複数IPアドレス、もしくは標準以外のポートを併用して使う必要がある。じゃあSSLネゴシエーションの時点でホスト名も送れるようにプロトコルを拡張したらいいじゃない、と思うかもしれない。ところがSSLレイヤーはHTTPのためにだけに存在するわけではなく、様々な接続に広く使われている。標準的にもHTTPに特化した改修は入りづらいだろう。
というのが数年前に問題提起されていたのを思い出したけど、現在でも状況は変わってないのかな。そこまで需要がない、もしくはワイルドカード証明書で十分て感じか。