Foros del Web » Administración de Sistemas » Apache »

SSLVerifyClient require falla cuando está dentro de <location>

Estas en el tema de SSLVerifyClient require falla cuando está dentro de <location> en el foro de Apache en Foros del Web. Hola amigos!! Quisiera hacer un pagina web donde se solicite la autenticación de cliente por certificado. Pues bien hasta ahí todo perfecto. Ningún problema, añadí ...
  #1 (permalink)  
Antiguo 04/03/2011, 04:11
 
Fecha de Ingreso: diciembre-2010
Mensajes: 79
Antigüedad: 11 años, 1 mes
Puntos: 3
SSLVerifyClient require falla cuando está dentro de <location>

Hola amigos!!

Quisiera hacer un pagina web donde se solicite la autenticación de cliente por certificado. Pues bien hasta ahí todo perfecto. Ningún problema, añadí

Código Apache:
Ver original
  1. SSLVerifyClient require

Y cuando intento entrar al servidor me solicita el certificado, todo perfecto (tanto en Firefox como en Internet Explorer)

Ahora quiero, que solicite el certificado en una carpeta concreta por ejemplo al entrar en la carpeta /login. Es decir que si me servidor es www.example.com no me pida el certificado y cuando kiero entrar a www.example.com/login por ejemplo si me lo pida.

Pues bien lo que hice es

Código Apache:
Ver original
  1. <location /login>
  2.   SSLVerifyClient requiere
  3. ...
  4. </location>

Y en Firefox va todo de p.madre, pero para mi sorpresa en Internet Explorer no funciona.

Alguna idea?? o alguna solución??

Saludos!!
  #2 (permalink)  
Antiguo 09/03/2011, 10:48
 
Fecha de Ingreso: diciembre-2010
Mensajes: 79
Antigüedad: 11 años, 1 mes
Puntos: 3
Respuesta: SSLVerifyClient require falla cuando está dentro de <location>

Realmente no se puede porque es una vulnerabilidad de apache leer:

http://www.educatedguesswork.org/2009/11/understanding_the_tls_renegoti.html

o

http://serverfault.com/questions/182722/client-certificate-authentication-sslv3-alert-handshake-failure-when-location-dir

Para que funcionase deberíamos poner SSLInsecureRenegotiation on

Si nos vamos al manual de apache dice lo siguiente

"...As originally specified, all versions of the SSL and TLS protocols (up to and including TLS/1.2) were vulnerable to a Man-in-the-Middle attack (CVE-2009-3555) during a renegotiation. This vulnerability allowed an attacker to "prefix" a chosen plaintext to the HTTP request as seen by the web server. A protocol extension was developed which fixed this vulnerability if supported by both client and server...."

Saludos!!!

PD: Nadie se ha encontrado con este error o qué??

Etiquetas: falla, location, require
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 23:23.