私はJessieのApache 2.4.10で仮想ホスティングを使用してマルチテナントウェブサイトを運営しています。
SNI以外のクライアントが(デフォルト)SSLサイトにアクセスする可能性を無効にしようとしています。
このために私は設定しました/etc/apache2/mods-available/ssl.conf
SSLStrictSNIVHostCheck On
ドキュメントから:
SSLStrictSNIVHostCheck:SNI以外のクライアントが名前ベースの仮想ホストにアクセスすることを禁止するかどうか。
ただし、再起動後もapacheSNI以外のクライアントはまだプライマリSSLホストにアクセスできます。
たとえば、次はまだ機能します。
openssl s_client -connect localhost:443
同様に、SNIなしで仮想ホストにアクセスするには、次のようにします。
openssl s_client -connect domain.com:443
SNIを使用して同じホストにアクセスしている間も、デフォルトのSSLドメインに戻ります。
openssl s_client -connect domain.com:443 -servername domain.com
仮想ホストから適切なページを返します。
また、そのディレクティブをデフォルトのSSL仮想ホストに入れてみましたが、SSLStrictSNIVHostCheck On役に立ちませんでした。
私は明らかなものを見逃していますか?