经过一番研究,我得到了这样的想法:由于当前的CVE-2009-3555缓解工作,除了在服务器上下文中,我无法成功地使用SSLVerifyClient 。
具体而言,由于CVE-2009-3555,各种版本的OpenSSL,Apache / mod_ssl和一些浏览器停止允许SSL重新协商。 因此, SSLVerifyClient require在Directory,Location或.htaccess上下文中导致服务失败(例如, 这些示例中的各个失败)。 自CVE-2009-3555,RFC 5746发布以来,OpenSSL,Apache / mod_ssl等支持哪些新版本。
Q1:这个总结大致正确吗?
我的问题直接与共享虚拟主机。 我无法访问httpd.conf,也无法升级软件。
问题2:如果我find一个运行最近支持RFC 5746 TLS重新协商指示(与GoDaddy不同)的软件的共享networking托pipe公司,我是否可以在.htaccess中取得成功:
SSLVerifyClient require SSLVerifyDepth 1 SSLCACertificateFile /path/to/my/ca.crt
ca.crt是我的私生子自签名证书吗?
mod_ssl文档没有说SSLCACertificateFile可以在.htaccess中,但是当我把它放在那里时,我没有得到典型的“不允许在这里”的错误。
Q1:是的,正确的。
Q2:不,我不认为这会起作用。
configuration方面,是否有任何原因SSLCACertificateFile不能在像VirtualHost块更广泛的configuration部分?
但是,除此之外,假设GoDaddy实际上已经修补以禁用重新协商(与他们,我不会假设),客户端证书可能是这个系统上的一个失败的原因。 我不知道客户端证书authentication需要重新协商的任何方法。