Apache2: paramétrer correctement default-ssl.conf pour le FQDN

Question

Je me demande comment est-ce que les paramètres "default-ssl.conf" sont correctement définis, liés au domaine principal VPS ou FQDN (dans cet exemple "server.foo.org").

En particulier dans "default-ssl.conf" est-il nécessaire d'indiquer les valeurs ServerName et aventually ServerAlias?

Merci

Exemple:

whithout ServerName:

<IfModule mod_ssl.c> 
    <VirtualHost _default_:443> 
     ServerAdmin webmaster@localhost 

     DocumentRoot /var/www/html 
[ETC..] 

Avec ServerName:

<IfModule mod_ssl.c> 
     <VirtualHost *:443> 
       ServerAdmin webmaster@localhost 
       ServerName foo.org 
       ServerAlias server.foo.org www.server.foo.org www.foo.org 
       DocumentRoot /var/www/html 
[ETC..] 

Answer 1

L'utilisation fal hôte virtuel l-back (serveur par défaut avec apache2) augmente le risque d'attaques de confusion d'hôte virtuel. Une façon d'empêcher ces attaques est de s'assurer que le serveur Web répond uniquement aux domaines auxquels il est censé appartenir. (s'il peut répondre pour un domaine auquel il n'est pas censé être couvert par le certificat présenté dans le vhost par défaut, il peut être vulnérable)

Il est donc préférable d'avoir un hôte virtuel dédié à vos domaines, et séparément celui par défaut.

Papers:

http://antoine.delignat-lavaud.fr/doc/www15.pdf3

https://bh.ht.vc/vhost_confusion.pdf2