我正在努力让Ruby的Net::HTTP实现与SNI一起使用。
mail.google.com和gmail.com都位于相同的IP地址上,因此在通过SSL进行连接时,Google服务器需要知道要使用的证书。默认情况下,它会返回mail.google.com证书,如果您尝试实施WebFinger,则会出现问题。
WebFinger要求您检索https://gmail.com/.well-known/host-meta以获取LRDD信息,但出于安全原因,验证SSL证书信息至关重要。
由于Google在这种情况下提供默认的mail.google.com证书,因此SSL post_connection_check失败。这里正确的解决方案是为Net::HTTP启用服务器名称指示,但我不清楚如何使用OpenSSL的Ruby绑定。其他人有想法吗?
您应该可以通过运行来查看问题:
require 'open-uri'
open('https://gmail.com/.well-known/host-meta') { |f| f.read }
我还创建了一个使用早期版本的curl和OpenSSL来解决问题的要点:
答案 0 :(得分:8)
对于SNI支持,您需要更新的OpenSSL版本(0.9.8f,--enable-tlsext或0.9.8j或更高版本)并在OpenSSL::SSL::SSLSocket#hostname = 'hostname'之前调用SSLSocket#connect。 Net::HTTPS尚不支持SNI,而open-uri则不支持。
检查httpclient开发存储库应该支持SNI。
如果你现在很快就需要发布宝石,请告诉我......
答案 1 :(得分:6)
Ruby 2.0将解决TLS SNI(服务器名称指示)问题:
来自net / http ..
# ...
# s.session = @ssl_session if @ssl_session
# # Server Name Indication (SNI) RFC 3546
# s.hostname = @address if s.respond_to? :hostname=
# Timeout.timeout(@open_timeout, Net::OpenTimeout) { s.connect }
# if @ssl_context.verify_mode != OpenSSL::SSL::VERIFY_NONE
# s.post_connection_check(@address)
# end
# ...
使这项工作在1.9.2(或更高版本) 将类似的补丁应用于net / http
# ...
# BEGIN: SNI PATCH http://bugs.ruby-lang.org/issues/4351
# s.hostname = @address if s.respond_to? :hostname=
# END: SNI PATCH http://bugs.ruby-lang.org/issues/4351
# timeout(@open_timeout) { s.connect }
# if @ssl_context.verify_mode != OpenSSL::SSL::VERIFY_NONE
# s.post_connection_check(@address)
# end
# ...
另见: http://bugs.ruby-lang.org/issues/4351 http://en.wikipedia.org/wiki/Server_Name_Indication
答案 2 :(得分:-1)
我在issue hunt中进行了这项运动,以资助向SNI的红宝石1.8.7的移植,希望人们可以用一毛钱或固定费用捐款,并解决我们所有的问题:D