Skip to Content.
Sympa Menu

cacert-sysadm - Apache / Debain packaging / SSL Regnegiotation

cacert-sysadm AT

Subject: CAcert System Admins discussion list

List archive

Apache / Debain packaging / SSL Regnegiotation

Chronological Thread 
  • From: Daniel Black <daniel AT>
  • To: jandd AT, cacert-sysadm AT
  • Subject: Apache / Debain packaging / SSL Regnegiotation
  • Date: Fri, 26 Mar 2010 14:30:24 +1100
  • Authentication-results:; dkim=pass (1024-bit key) header.i= AT; dkim-asp=none
  • Organization: CAcert

Jan and others,

I need some help. With the of browsers to fix the CVE-2009-3555 and Safari 
abnormal responses to optional client certificate authentication is seems the 
approach is to move from Directory/Location based certificate authentication 
to domain based certificate authentication[1]. There are two ways to achieve 
1. SNI
2. An IP separated domains like typical SSL services


SNI has the advantage that is uses fewer IP addresses. SubjectAltNames as 
tested on {nocert,cert,} works quite well on the client side.

It has the disadvantage that Debian Lenny doesn't have an apache or lighttpd 
package of sufficient version to support SNI. There is no backport available. 
It is however in the debian testing (squeeze) repository

The lack of SNI support in IE(Windows XP) isn't a major issue as all sites 
will be serving the same content. There will be a default page probably on 
SSLVerifyClient optional which IE(XP) handles nicely from what I can tell 
the lack of objections/problems).


Though our provider has offered more IPs however i'm avoiding this option 
slightly just for the time being.

I estimate the following IP requirements
3 -  { ,nocert. ,cert.} (nocert is needed to avoid automatic 
cert login - needed by 
2 - {,cert. }
2 - {,cert. }
2 - {,cert. }
2 - {,cert. } (some test infrastructure???)
2 - {,cert. }
2 - {,cert. }
3 - { ,  nocert. ,cert. } (??)
2 - {,cert. }
(others/corrections ?)

As you can see our IP requirements double quite quickly

{domain} will be optional client certificate related
cert.{domain} will be required client certificate relate
nocert.{domain} won't ask for a client cert

So my question is - how to go for Bern infrastructure?
1. squeeze
2. lenny and create/maintain backported apache2
3. more IPs
4. something else?


Daniel Black
Infrastructure Team Lead

Attachment: smime.p7s
Description: S/MIME cryptographic signature

Archive powered by MHonArc 2.6.16.

Top of Page