Ra <a...@a...com> writes:

> chodzi tylko i wyłącznie o szybkość łączy szcz gdy serwery i klienci
> są na różnych kontynentach
> tu jest przykład trochę z innego podwórka ale za to w ramach tego
> samego kraju http://www.joelonsoftware.com/items/2009/02/05.html

Co to ma wspolnego z bankowoscia internetowa i np. z odpowiedzialnoscia
za naprawde spore pieniadze?
--
Krzysztof Halasa

do góry

(20.10.2009 21:55), Wojciech Bancer wrote:
> On 2009-10-20, Marcin Wasilewski <j...@a...pewnie.je.st> wrote:
>
> [...]
>
>>> A mnie się jednak wydaje, że mod_rewrite działa _po_ weryfikacji
>>> połączenia, a nie przed, bo najpierw się trzeba połączyć, a potem owy
>>> request przetwarzać i kierować w odpowiednie miejsce.
>> W zasadzie i tak i nie. Co prawda https jest warstwę wyżej od http i
>> można domniemać, że dopiero po wymianie kluczy następuje przetworzenie żądania
>> http, a więc i ewentualne wykonanie rewrite, ale z drugiej strony nie powoduje
>> to niemożliwości ustawienia przekierowania na właściwy adres jako choćby
>> zwyczajny nagłówek http.
>
> Oczywiście. Ale to będzie wyglądać tak:
> 1. wchodzę na https://example.com/
> 2. Dostaję info, że cert jest niewłaściwy
> 3. Jeśli akceptuję
> - Przekierowuje mnie na właściwy adres
> 4. Jeśli nie, to przeglądarka blokuje jakiekolwiek dalsze przetwarzanie.
>
> IMHO nie uda się ominąć 2.

Da się, jeżeli example.com i www.example.com będą stały na różnych ip,
każdy z odpowiednim certyfikatem.

Albo jak już ktoś wspomniał - certyfikat na domenę "www" i "bez-www".
Najtańsze certyfikaty na godaddy mają taką właściwość.

p. m.

do góry

On 2009-10-24, mvoicem <m...@g...com> wrote:

[...]

>> Oczywiście. Ale to będzie wyglądać tak:
>> 1. wchodzę na https://example.com/
>> 2. Dostaję info, że cert jest niewłaściwy
>> 3. Jeśli akceptuję
>> - Przekierowuje mnie na właściwy adres
>> 4. Jeśli nie, to przeglądarka blokuje jakiekolwiek dalsze przetwarzanie.
>>
>> IMHO nie uda się ominąć 2.
>
> Da się, jeżeli example.com i www.example.com będą stały na różnych ip,
> każdy z odpowiednim certyfikatem.

No skoro "każdy z odpowiednim certyfikatem", to oczywiste, że pkt. 2
nie wystąpi. Zauważ, że wcześniej padały rady jak to zrobić by nie
kupować 2 certów.

> Albo jak już ktoś wspomniał - certyfikat na domenę "www" i "bez-www".
> Najtańsze certyfikaty na godaddy mają taką właściwość.

Już widzę jak banki kupują certyfikaty od godaddy :)

--
Wojciech Bańcer
p...@p...pl

do góry

Krzysztof Halasa <k...@p...waw.pl> had the courage to write:
> "kashmiri" <x...@g...com> writes:
>
>>> https://www.mbank.pl przedstawia się certyfikatem wystawionym na
>>> www.mbank.com.pl.
>
>> To nawet nie jest kwestia pieniędzy, wystarczyłoby zwykłe
>> przekierowanie domeny (web redirect, albo nawet używając rekordów
>> CNAME).
>
> Nic z tych rzeczy, to nie wystarczy przy HTTPS (ani innym xxxxS).
>
> Zastanow sie, jak to by moglo sensownie dzialac, jesli wystarczyloby
> podstawic serwer (bez wlasciwego certyfikatu) i np. przekierowac gdzies?

Ot tak:

http://www.mbank.pl ->> przekierowanie: http://www.mbank.com.pl -->włączenie
HTTPS: https://www.mbank.com.pl

Nie zadziała?

do góry

kashmiri wrote:
>
> http://www.mbank.pl ->> przekierowanie: http://www.mbank.com.pl
> -->włączenie HTTPS: https://www.mbank.com.pl
>
> Nie zadziała?
>

co to jest "włączenie https"?

do góry

"kashmiri" <x...@g...com> writes:

> Ot tak:
>
> http://www.mbank.pl ->> przekierowanie: http://www.mbank.com.pl
> -->włączenie HTTPS: https://www.mbank.com.pl
>
> Nie zadziała?

Oczywiscie zadziala, ale nie wtedy, gdy ktos wpisze sobie
https://www.mbank.pl.

Tyle ze nie ma powodu by to wpisywal, wiec ja bym zrobil "connection
refused" i po klopocie.
--
Krzysztof Halasa

do góry

Krzysztof Halasa wrote:
> "kashmiri" <x...@g...com> writes:
>
>> Ot tak:
>>
>> http://www.mbank.pl ->> przekierowanie: http://www.mbank.com.pl
>> -->włączenie HTTPS: https://www.mbank.com.pl
>>
>> Nie zadziała?
>
> Oczywiscie zadziala, ale nie wtedy, gdy ktos wpisze sobie
> https://www.mbank.pl.
>
> Tyle ze nie ma powodu by to wpisywal, wiec ja bym zrobil "connection
> refused" i po klopocie.

Typowo bardziej sie oplaci kupic dodatkowy certyfikat i przekierowac
https://www.mbank.pl -> https://www.mbank.com.pl, niz odpowiadac byc
moze tysiacom ludzi w roku na "nie dziala mBank / nie dzialal mBank,
wiec musialem wykonac operacje przez telefon, prosze o zwrot kosztow".


--
Tomasz Chmielewski
http://wpkg.org

do góry