服务器名称指示支持NET :: HTTP?
题
我正在尝试获得Ruby的 Net::HTTP
实施与SNI合作。
Mail.google.com和gmail.com都可以在相同的IP地址上直播,因此,通过SSL连接时,Google Server需要知道要使用哪个证书。默认情况下,它返回邮件。
Webfinger需要您检索 https://gmail.com/.well-known/host-meta
但是,为了获得LRDD信息,出于安全原因,验证SSL证书信息至关重要。
由于Google在这种情况下为默认邮件提供了默认邮件。 post_connection_check
失败。此处的正确解决方案是启用服务器名称指示 Net::HTTP
, ,但是我尚不清楚如何与openssl的红宝石绑定一起工作。还有其他人想到吗?
您应该能够通过运行来查看问题:
require 'open-uri'
open('https://gmail.com/.well-known/host-meta') { |f| f.read }
我还创建了一个要点,该要点使用早期版本的curl and openssl展示了问题:
解决方案
对于SNI支持,您需要一个较新的OpenSSL版本(0.9.8F with with with --enable-tlsext
或0.9.8J或更高版本)并致电 OpenSSL::SSL::SSLSocket#hostname = 'hostname'
前 SSLSocket#connect
. Net::HTTPS
尚未支持SNI,并且Open-uri不支持。
检查HTTPCLIENT开发存储库应支持SNI。
让我知道您现在是否需要很快发布宝石...
其他提示
Ruby 2.0将解决TLS SNI(服务器名称指示)问题:
来自net/http ..
# ...
# s.session = @ssl_session if @ssl_session
# # Server Name Indication (SNI) RFC 3546
# s.hostname = @address if s.respond_to? :hostname=
# Timeout.timeout(@open_timeout, Net::OpenTimeout) { s.connect }
# if @ssl_context.verify_mode != OpenSSL::SSL::VERIFY_NONE
# s.post_connection_check(@address)
# end
# ...
在1.9.2(或更高)中使这项工作适用于NET/HTTP
# ...
# BEGIN: SNI PATCH http://bugs.ruby-lang.org/issues/4351
# s.hostname = @address if s.respond_to? :hostname=
# END: SNI PATCH http://bugs.ruby-lang.org/issues/4351
# timeout(@open_timeout) { s.connect }
# if @ssl_context.verify_mode != OpenSSL::SSL::VERIFY_NONE
# s.post_connection_check(@address)
# end
# ...
也可以看看:http://bugs.ruby-lang.org/issues/4351 http://en.wikipedia.org/wiki/server_name_indication
我在 狩猎问题 为了为Ruby 1.8.7的SNI提供资金,希望人们能够用一角钱或修复来做出贡献,并解决我们所有的问题:D