プライマリSSLホストへのSNI以外のアクセスを無効にすることはできません。

プライマリSSLホストへのSNI以外のアクセスを無効にすることはできません。

私はJessieのApache 2.4.10で仮想ホスティングを使用してマルチテナントウェブサイトを運営しています。

SNI以外のクライアントが(デフォルト)SSLサイトにアクセスする可能性を無効にしようとしています。

このために私は設定しました/etc/apache2/mods-available/ssl.conf

SSLStrictSNIVHostCheck On

ドキュメントから:

SSLStrictSNIVHostCheck:SNI以外のクライアントが名前ベースの仮想ホストにアクセスすることを禁止するかどうか。

ただし、再起動後もapacheSNI以外のクライアントはまだプライマリSSLホストにアクセスできます。

たとえば、次はまだ機能します。

openssl s_client -connect localhost:443 

同様に、SNIなしで仮想ホストにアクセスするには、次のようにします。

openssl s_client -connect domain.com:443 

SNIを使用して同じホストにアクセスしている間も、デフォルトのSSLドメインに戻ります。

openssl s_client -connect domain.com:443 -servername domain.com

仮想ホストから適切なページを返します。

また、そのディレクティブをデフォルトのSSL仮想ホストに入れてみましたが、SSLStrictSNIVHostCheck On役に立ちませんでした。

私は明らかなものを見逃していますか?

関連情報