Openssl Client bei SNI verwenden

Möchten man auf einen Apache Server verschiedene Webdienste mit SSL/TLS auf einer IP Adresse betreiben so geht das “im Prinzip” nicht. Eigentlich braucht jede Adresse die mit https betrieben werden soll eine eigene Adresse. Damit das Problem gelöst wird wurde eine Erweiterung namens “Server Name Indication” (SNI) eingebaut. Das haben zwar am Anfang nicht alle Browser unterstützt aber heute ist das eigentlich von allen Browsern unterstützt.

Möchten man jetzt mit den Werkzeug openssl Details seiner TLS Konfiguration prüfen dann kann man das eigentlich so:

 openssl s_client -state -connect www.hagen-bauer.de:443

Dummerweise liefert dies bei einem Server mit SNI nicht immer die richtigen Ergebnisse. Erst wenn man den Befehl erweitert kann man sicherstellen auch den “richtigen” Server zu erreichen.

openssl s_client -state -prexit -connect www.hagen-bauer.de:443 -servername www.hagen-bauer.de 

Sonst sucht man sich nämlich einen Wolf und zwar immer an der falschen Stelle.