服务器名称指示支持NET :: HTTP？

Question

我正在尝试获得Ruby的 Net::HTTP 实施与SNI合作。

Mail.google.com和gmail.com都可以在相同的IP地址上直播，因此，通过SSL连接时，Google Server需要知道要使用哪个证书。默认情况下，它返回邮件。

Webfinger需要您检索 https://gmail.com/.well-known/host-meta 但是，为了获得LRDD信息，出于安全原因，验证SSL证书信息至关重要。

由于Google在这种情况下为默认邮件提供了默认邮件。 post_connection_check 失败。此处的正确解决方案是启用服务器名称指示 Net::HTTP, ，但是我尚不清楚如何与openssl的红宝石绑定一起工作。还有其他人想到吗？

您应该能够通过运行来查看问题：

require 'open-uri'
open('https://gmail.com/.well-known/host-meta') { |f| f.read }

我还创建了一个要点，该要点使用早期版本的curl and openssl展示了问题：

https://gist.github.com/7936EF38787092A22897

Answer 1

对于SNI支持，您需要一个较新的OpenSSL版本（0.9.8F with with with --enable-tlsext 或0.9.8J或更高版本）并致电 OpenSSL::SSL::SSLSocket#hostname = 'hostname' 前 SSLSocket#connect. Net::HTTPS 尚未支持SNI，并且Open-uri不支持。

检查HTTPCLIENT开发存储库应支持SNI。

• https://github.com/nahi/httpclient

让我知道您现在是否需要很快发布宝石...

Answer 2

Ruby 2.0将解决TLS SNI（服务器名称指示）问题：

来自net/http ..

#        ...
#           s.session = @ssl_session if @ssl_session
#           # Server Name Indication (SNI) RFC 3546
#           s.hostname = @address if s.respond_to? :hostname=
#           Timeout.timeout(@open_timeout, Net::OpenTimeout) { s.connect }
#           if @ssl_context.verify_mode != OpenSSL::SSL::VERIFY_NONE
#             s.post_connection_check(@address)
#           end
#           ...

在1.9.2（或更高）中使这项工作适用于NET/HTTP

#         ...
# BEGIN:  SNI PATCH http://bugs.ruby-lang.org/issues/4351
#          s.hostname = @address if s.respond_to? :hostname=
# END:   SNI PATCH http://bugs.ruby-lang.org/issues/4351
#          timeout(@open_timeout) { s.connect }
#          if @ssl_context.verify_mode != OpenSSL::SSL::VERIFY_NONE
#            s.post_connection_check(@address)
#          end
#        ...

也可以看看：http://bugs.ruby-lang.org/issues/4351 http://en.wikipedia.org/wiki/server_name_indication

Answer 3

我在 狩猎问题 为了为Ruby 1.8.7的SNI提供资金，希望人们能够用一角钱或修复来做出贡献，并解决我们所有的问题：D