CN104094554A - 无服务器名称指示(sni)的隐式ssl证书管理 - Google Patents
无服务器名称指示(sni)的隐式ssl证书管理 Download PDFInfo
- Publication number
- CN104094554A CN104094554A CN201380006965.5A CN201380006965A CN104094554A CN 104094554 A CN104094554 A CN 104094554A CN 201380006965 A CN201380006965 A CN 201380006965A CN 104094554 A CN104094554 A CN 104094554A
- Authority
- CN
- China
- Prior art keywords
- ssl certificate
- name
- ssl
- host name
- certificate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/618—Details of network addresses
- H04L2101/663—Transport layer addresses, e.g. aspects of transmission control protocol [TCP] or user datagram protocol [UDP] ports
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Telephonic Communication Services (AREA)
- Information Transfer Between Computers (AREA)
Abstract
各实施例公开在SSL问候连接中仅存在IP地址和端口时(这例如可以在不具备SNI能力的客户端发起SSL问候时发生)使用IP:端口至主机名表进行逆向查找以标识主机名。一旦成功查找主机名,使用命名约定以简化SSL证书的管理和标识。支持不同类型的SSL证书。多个主机名匹配可以与IP:端口至主机名表中给定的IP地址和端口相关联。在这种情形中,总是将第一匹配主机名用于命名约定以标识相关的SSL证书。按照首先寻找最匹配的文件名至最不匹配的文件名的方式来应用命名约定。
Description
背景
安全套接字层(SSL)/传输层安全(TLS)主要用于对在非安全网络(诸如因特网)上发送的机密数据进行加密。在HTTPS协议中,加密数据的类型包括URL、HTTP报头、cookie、以及通过表格提交的数据。用SSL/TLS来确保安全的网页具有开始于“https://”的URL。SSL/TLS安全协议层被定位在应用协议层与TCP/IP层之间,在此其可以确保安全并且接着向传输层发送应用数据。
包括一系列排序消息的SSL/TLS握手协议用于协商数据传输会话的安全参数。SSL/TLS握手开始于发送到web服务器的初始客户端问候(Client Hello)消息。客户端问候消息包含版本号、随机生成的数据、会话标识、客户端上可用的密码套件列表、以及所请求的压缩算法。服务器名称指示(SNI)由TLS扩展提供,其允许客户端在客户端问候消息中提供它们正与其联系的服务器的名称。主机名包含服务器的全限定DNS主机名。该功能对于例如促进去往在单个底层网络地址处主存多个虚拟服务器的服务器的安全连接是合乎需要的。
服务器用服务器问候消息来对客户端问候消息作出响应。服务器问候消息包括版本号、随机生成的数据、会话标识、新的或恢复的会话ID。如果客户端不指示要恢复的会话,则生成新的ID。当客户端指示要恢复的会话但服务器不能或者不会恢复该会话时,也生成新的会话ID。该后一种情形还导致新的会话ID、客户端和服务器两者都支持的加密套件、以及压缩算法。指定了要使用的压缩算法(非当前支持)。
服务器还将其SSL证书发送给客户端,该SSL证书包含服务器的公钥,该公钥可用于认证服务器并且对预备主密钥进行加密。客户端检查证书中服务器的名称以验证其匹配该客户端用于连接的名称。如果用户在浏览器中输入www.contoso.com作为URL,则该证书包含www.contoso.com的主题名称或者*.contoso.com。如果这些名称不匹配从而指示服务器不应当被信任,则浏览器将警告用户。除了能够加密数据之外,SSL/TLS还通过确保URL中的域名匹配从服务器返回的证书的主题名称来确保客户端实际上的确与它预期的服务器在通信。
服务器随后发送服务器问候完成消息,以指示服务器已经完成并且正在等待来自客户端的响应。使用附加信息来进行密钥交换以及验证和完成SSL/TLS握手。
通常,除了通配符SSL证书或具有多个主题名称的SSL证书之外,SSL证书是针对具体站点来发出的,该具体站点具有与站点的域名匹配的主题。由于每一网站需要其自己的SSL证书,这可能造成规模的问题。相应地,如果存在数百万个安全网站,则需要数百万个SSL证书。对于负责多个网站以管理每个网站的SSL证书的服务器管理员而言这可能是令人畏缩的问题。管理SSL证书对于支持高密度主存或云服务的管理员而言可能尤其困难。另外,由于SSL证书每年都会期满,对SSL证书的持续维护以及对于一对一的证书/网站关联的管理是持续且耗时的任务。
服务器管理员必须管理服务器上所有网站的证书。传统地,当客户端通过SSL/TLS连接到服务器时,它仅能够用IP:端口来标识网络端点。相应地,除了为所有主机网站管理证书之外,管理员必须为每一网站创建对应的IP地址,因为每一站点希望维护标准SSL端口,443。这对于主控数百万网站并且因此必须管理数百万个证书和IP地址的管理员而言造成了规模问题。
通过扩展TLS,现在SNI能够伴随SSL问候来发送域名(其有时被称为虚拟域名)。有了该域名,现在能够使用全部的三个信息(IP地址、端口和域名)来唯一地标识网络端点。这消除了管理员创建数百万IP地址的需要,因为相同的IP地址和端口可以保持恒定,而数百万唯一的域名可用于区分各个网站。然而,管理员仍然需要创建和管理数百万证书并且必须管理数百万个站点与数百万个证书之间的一对一关联。
使用SNI,可使用命名合约来暗示与站点相对应的SSL证书。例如,来自具备SNI能力的客户端的SSL握手指示它正试图连接到特定域名。在一个这样的系统中,命名合约规定SSL证书必须被命名为<virtual domain name>.pfx。例如,对于诸如www.contoso.com之类的域,web服务可以使用“www.contoso.com.pfx”作为与该站点相对应的SSL证书的名称。使用该“.pfx”命名约定的系统在2011年3月22日提交的题为“Central and Implicit Certificate Management(集中式且隐式证书管理)”的待审的美国专利申请No.13/069,032中描述,该申请的公开通过援引被整体纳入于此。
尽管这样的命名约定消除了维护耗时、显式一对一映射的需要,但它对于SSL客户端问候时域名的可用性(其仅由具备SNI能力的客户端提供)具有严重依赖性。截止2011年9月,跨所有客户端对SNI的采用大约为65%-75%,这还留有全部客户端中的25%-35%不具备SNI能力。作为结果,对于仅SNI具有严重依赖性的命名约定并未准备好用于普遍消耗。
概述
提供本概述是为了以简化的形式介绍将在以下具体实施方式中进一步描述的概念选择。本概述并不旨在标识所要求保护主题的关键特征或必要特征,也不旨在用于限制所要求保护主题的范围。
各实施例消除了使用这样的命名约定对SNI的严重依赖性以简化SSL证书的管理,以使得具备SNI能力和不具备SNI能力的浏览器两者均受到支持。另外,该系统支持不同类型的SSL证书,诸如具有一个主题名称的证书、具有伴随星号子域的一个主题名称的证书(被称为“通配符证书”)、以及具有多个主题名称的证书。
各实施例提供IP:端口至主机名的逆向查找能力。基于web服务器中的配置选项来生成IP:端口至主机名表。该表将IP地址/端口号对与一个或多个主机名相关联。使用该表,web服务器能够仅使用来自SSL问候连接的IP地址和端口“逆向查找”主机名,如在不具备SNI能力的客户端发起SSL问候时的情形那样。
一旦成功查找了主机名,使用相同的命名约定来简化SSL证书的管理。SSL证书与站点之间的命名约定不再对SNI具有严重依赖性。
各实施例还支持不同类型的SSL证书。在服务器执行逆向查找时,可能存在匹配给定IP地址/端口号的多个主机名。在这种情形中,服务器将总是使用第一匹配主机名并且应用命名约定以搜索相关联的SSL证书。由于web服务器可能总是使用第一匹配主机名,因此服务器不必扫描整个IP:端口至主机名表以查看是否存在重复而是一旦找到第一个匹配就退出。
这些实施例满足了全部三种类型的SSL证书,因为服务器按照首先寻找最匹配的文件名直到最不匹配的文件名的这种方式来应用命名约定。更具体地,服务器将首先尝试寻找具有文件名“www.<hostname>.pfx”的对应证书。如果不存在这样的文件,则服务器将自动重试不那么匹配的文件名“_.<hostname>.com.pfx”,其中下划线字符“_”表示“通配符证书”中的通配符。如在此处示例中所使用的,下划线“_”是命名合约的具体示例。然而,将理解,可以按照命名约定定义任何字符作为通配符。另外,命名约定规定,对于具有多个主题名称的证书,需要与主题名称一样多的文件,即便SSL证书文件本身是相同的。基于以上配置,web服务器能够成功地生成IP:端口至主机名表,并且进一步充分利用SSL证书的具体行为来成功地维护SSL行为的正确性,即便“逆向查找”总是依赖第一匹配主机名。附图说明
为了进一步阐明本发明的各实施例的以上和其他优点和特征,将参考附图来呈现本发明的各实施例的更具体的描述。可以理解,这些附图只描绘本发明的典型实施例,因此将不被认为是对其范围的限制。本发明将通过使用附图用附加特征和细节来描述和解释,附图中:
图1是根据一个实施例的支持具备SNI能力的浏览器和不具备SNI能力的浏览器两者的系统的框图;
图2是解说根据一个实施例的支持不具备SNI能力的浏览器与具有单名称SSL证书或具有多个主题名称的SSL证书的web服务器通信的系统的框图;
图3是解说根据一个实施例的支持不具备SNI能力的浏览器与具有通配符SSL证书的web服务器通信的系统的框图;
图4是用于标识web服务器上的SSL证书的方法或过程的流程图;
图5是根据一个实施例的用于将单名称SSL证书或具有多个主题名称的SSL证书存储在web服务器上的SSL证书文件存储中的方法或过程的流程图;
图6是根据一个实施例的用于将通配符SSL证书存储在web服务器上的SSL证书文件存储的方法或过程的流程图;以及
图7解说了其上可以实现图1-6的示例的适当的计算和联网环境的示例。
具体实施方式
安全套接字层(SSL)和传输层安全(TLS)协议用于为浏览器客户端与web服务器之间通过因特网的通信提供安全。服务器名称指示(SNI)扩展TLS协议以指示浏览器正试图抵达的主机名。SNI允许服务器为相同IP地址和端口号使用多个SSL证书,这允许多个安全(即https://)网站由相同IP地址和端口来服务。一些较旧的浏览器和服务器不支持SNI。
存在三种不同类型的SSL证书:具有一个主题名称的SSL证书、具有星号子域的一个主题名称的证书(“通配符证书”)、以及具有多个主题名称的证书。本文描述的系统和方法的各实施例支持全部三种类型的SSL证书。
当浏览器客户端试图访问网站时,服务器寻找来自浏览器的SSL问候连接中的主机名。具备SNI能力的浏览器在建立连接时将包括主机名。当不具备SNI能力的浏览器发起SSL问候连接时,IP地址和端口号与SSL问候连接一起呈现,但没有主机名。
在一个实施例中,web服务器生成将IP地址和端口号与主机名相关的IP:端口至主机名表。一旦标识了主机名,命名约定可应用于该主机名以标识对应的SSL证书。使用该表,web服务器能够对IP地址和端口号执行逆向查找以寻找恰适的主机名。使用来自IP:端口至主机名表的主机名,web服务器能够查找恰适的SSL证书。
Web服务器使用允许服务器找到每一主机名的恰适证书的SSL证书特定命名约定。在一个实施例中,扩展“PFX”被添加到SSL证书中的主机名以命名所存储的证书文件。例如,SSL证书被命名为“<hostname>.pfx”,并且被存储在本地高速缓存中的web服务器上或者被存储在中央证书存储或文件服务器中。命名约定用于简化SSL证书的管理。命名约定允许服务器基于主机名来暗示对应的SSL证书,这消除了站点与SSL证书之间的显式1对1映射的管理。尽管扩展“PFX”在此处的示例中使用,但将理解,也可使用任何其他扩展来命名SSL证书。Web服务器可以使用如通过添加恰适扩展所修改的主机名来查找SSL证书。
Web服务器的各实施例支持全部不同类型的SSL证书。当服务器在IP:端口至主机名表中执行查找时,可能存在与给定IP地址和端口匹配的多个主机名。这可能例如在web服务器在相同IP地址和端口主控多个网页的情况下发生。在其中多个主机名匹配IP地址和端口的情形中,服务器将总是使用第一匹配主机名并且将向该主机名应用命名约定(即向其添加“PFX”扩展)。因为在该实施例中web服务器能够总是使用第一匹配主机名,服务器实际上不必扫描整个IP:端口至主机名表以查看是否存在重复。相反,web服务器将在找到第一个IP:端口至主机名匹配时从该表退出。
IP:端口至主机名表的使用作用于全部三种类型的SSL证书。例如,可能存在用于具有多个子域的站点的以下绑定(IP/端口/主机名)。
64.4.6.100/443/images.contoso.com
64.4.6.100/443/members.contoso.com
64.4.6.100/443/secure.contoso.com
主控这些子域的网站可以使用SSL通配符证书。在该情形中,通配符证书是针对*.contoso.com。使用命名约定,该通配符证书将使用名称“_.contoso.com.pfx”来存储,其中“PFX”扩展已经被添加至主机名并且“_”表示通配符证书中的星号(“*”)。
Web服务器将为这些绑定生成以下IP:端口至主机名表:
表1
具有多个域的站点可以具有以下绑定(IP/端口/主机名):
192.168.0.1/443/www.contoso.com
192.168.0.1/443/www.example.com
主控这些多个域的网站可以使用具有多个域的SSL证书。在该情形中,SSL证书将列举www.contoso.com和www.example.com两者。使用该命名约定,该证书将通过向该证书中列举的每一域应用命名约定而被存储多次。该证书将使用名称“www.contoso.com.pfx”被存储一次,并且随后使用名称“www.example.com.pfx”被存储第二次。相应地,在一个实施例中,命名约定规定,对于具有多个主题名称的SSL证书,需要存在与主题名称一样多的“PFX”文件,即便SSL证书文件是相同的。
Web服务器将为这些绑定生成以下IP:端口至主机名表:
表2
当不具备SNI能力的浏览器试图抵达服务器上的网站时,浏览器发送IP地址和端口号,但没有主机名。服务器使用该IP地址和端口号在IP:端口至主机名表中查找主机名。如以上的表1和2所解说的,可能存在与IP地址/端口号相对应的多个证书。在一个实施例中,web服务器使用IP:端口至主机名表中列举的第一主机名并且应用命名约定。例如,如果与IP地址/端口号相对应的第一主机名是www.contoso.com,则服务器将首先寻找具有文件名“www.contoso.com.pfx”的对应证书。如果不存在这样的文件,则服务器将自动使用具有格式“_.contoso.com.pfx.”的不那么匹配的文件名来重试。
图1是根据一个实施例的支持具备SNI能力的浏览器和不具备SNI能力的浏览器两者的系统的框图。服务器101支持用于使用web服务实例102a-n的多个承租人的网站。每一承租人的端点使用IP地址(IPn)和端口号(端口n)来标识。客户端浏览器103和104使用IP地址和端口号与网站通信。在其他实施例中,一个或多个web服务实例102a-n的群可位于两个或更多个分开的服务器上。
SSL证书可维护在SSL证书存储105中以用于安全网站。在多承租人环境中,SSL证书存储105可用于简化服务器101上的SSL证书的管理。代替跨每一web服务实例102来复制证书,web服务102可以访问共用存储105上的SSL证书。SSL证书使用以上讨论的命名约定来存储。具体地,单名称证书和具有多个主题名称的证书为证书中列举的每一域使用格式www.domain.com.pfx来存储。通配符SSL证书为证书中的顶层域使用格式“_.domain.com.pfx”来存储。在其他实施例中,每一web服务102可具有本地高速缓存,其用于存储一个或多个SSL证书,诸如最近使用的SSL证书。
当具备SNI能力的浏览器104访问web服务102时,SSL问候在TLS扩展中包括主机名(例如“www.contoso.com”)。服务器101在本地高速缓存中(如果可用的话)寻找对应的证书。如果高速缓存未命中,则服务器101使用该主机名(www.contoso.com)在SSL证书存储105中查找证书。服务器101使用命名约定(www.contoso.com.pfx)在文件服务器105上寻找证书。
当不具备SNI能力的浏览器103访问web服务102时,它不发送主机名而是仅发送IP地址和端口号。IP地址和端口号总是可用的;然而,主机名从不具备SNI能力的浏览器103不可用。为了寻找SSL证书,服务器101使用IP地址/端口号在IP:端口至主机名映射106中执行逆向查找以寻找恰适主机名。如以上的表1和2所解说的,IP地址/端口号可以与一个或多个主机名相关。服务器获得在IP:端口至主机名映射106中找到的第一列举的主机名(例如www.contoso.com)。服务器101随后使用命名约定(例如www.contoso.com.pfx)在远程文件服务器105上搜索SSL证书。该搜索标识出恰适的单名称SSL证书或具有多个主题名称的证书(如果存在的话)。如果没有找到匹配第一尝试(即www.contoso.com.pfx)的SSL证书,则服务器101使用替换命名约定(例如_.contoso.com.pfx)并且再次搜索远程文件服务器105。该搜索标识出恰适的通配符SSL证书(如果存在的话)。
图2是解说根据一个实施例的支持不具备SNI能力的浏览器201与具有单名称SSL证书或具有多个主题名称的证书的web服务器202通信的系统的框图。Web服务器202包括标识了所支持的IP地址/端口号/主机名的组合的IP:端口至主机名映射203。Web服务器202还包括保持一个或多个SSL证书的SSL证书存储204。SSL证书使用如上所述的命名约定来命名,其中“PFX”扩展被添加到SSL证书中列举的域名。如果具有多个主题名称的SSL证书存在,则该证书使用针对该证书中列举的每一主题名称的命名约定来存储多次。
浏览器201不支持SNI并且因此不在SSL问候的TLS扩展中发送主机名。相反,浏览器201仅向web服务器202发送IP地址(地址1)和端口号(端口#)。服务器202确定尚未提供主机名。使用IP地址/端口号,服务器202参考IP:端口至主机名映射203来标识与浏览器201发送的信息相关联的主机名。
在具有一个主题名称的SSL证书的情形中,该证书可能仅用于一个域名,诸如www.contoso.com。在IP:端口至主机名表203的上下文中,将仅存在针对该证书的一个行项。由于仅存在一个行项,web服务器202将使用命名约定在SSL证书存储204中搜索该域名。Web服务器202在SSL证书存储204中找到第一匹配(例如www.contoso.com.pfx)时将结束SSL证书搜索。
在具有多个主题名称的SSL证书的情形中,该证书被设计成用于多个域名,诸如www.contoso.com、www.example.com和www.1.com。Web服务器针对证书中列举的每一域存储具有多个主题名称的SSL证书一次。相应地,文件www.contoso.com.pfx、www.example.com.pfx和www.1.com.pfx是在不同名称下保存的相同SSL证书的副本。
在IP:端口至主机名表203的上下文中,取决于有多少列举的域被配置在web服务器202上针对该证书可能存在多个行项。Web服务器202使用来自表203的第一IP地址/端口名称匹配的主机名(例如www.contoso.com)。Web服务器202使用命名约定在SSL证书存储204中搜索该域名。Web服务器202在SSL证书存储204中找到第一匹配(例如www.contoso.com.pfx)时将结束SSL证书搜索。
即便浏览器201正试图抵达www.example.com或www.1.com域而非www.contoso.com,该过程将仍然获得正确的SSL证书。由于这些域全都使用相同的具有多个主题名称的SSL证书,该SSL证书已经在多个名称下被保存。因此,共享相同SSL证书的任何域可以用作搜索变量以寻找相关联的证书。
图3是解说根据一个实施例的支持不具备SNI能力的浏览器301与具有通配符SSL证书的web服务器302通信的系统的框图。Web服务器302包括标识了所支持的IP地址/端口号/主机名的组合的IP:端口至主机名映射303。Web服务器302还包括保持一个或多个SSL证书的SSL证书存储304。SSL证书使用如上所述的命名约定来命名,其中“PFX”扩展被添加到SSL证书中列举的域名。另外,当通配符SSL证书存在时,则该证书使用根据针对该证书中列举的子域的命名约定的格式_.domain.pfx来存储。
浏览器301不支持SNI并且因此不在SSL问候的TLS扩展中发送主机名。相反,浏览器301仅向web服务器302发送IP地址(地址1)和端口号(端口#)。服务器302确定尚未提供主机名。使用IP地址/端口号,服务器302参考IP“端口至主机名映射303来标识与浏览器301发送的信息相关联的主机名。
在通配符SSL证书的情形中,可以将相同的证书用于多个子域,只要域名保持相同。更具体地,具有*.contoso.com的SSL证书主题名称可用于任何子域,诸如images.contoso.com、members.contoso.com、secure.contoso.com等等。
在IP:端口至主机名表303的上下文中,取决于有多少列举的域被配置在web服务器302上针对该证书可能存在多个行项。Web服务器302使用来自表303的第一IP地址/端口名称匹配的主机名(例如images.contoso.com)。Web服务器302使用命名约定(即向主机名添加“PFX”)以搜索SSL证书存储304。在通配符SSL证书的情形中,web服务器302使用第一默认搜索参数(即,www.images.contoso.com.pfx)将不会在SSL证书存储304中找到匹配。
当第一尝试失败时,web服务器302使用具有通配符字符的替换搜索形式(例如,_.contoso.com.pfx)。该搜索参数将导致与存储304中的_.contoso.com.pfx SSL证书匹配。Web服务器302在SSL证书存储304中找到该匹配时将结束SSL证书搜索。
即便浏览器301正试图抵达member.contoso.com或secure.contoso.com域而非images.contoso.com,该过程仍然获得正确的SSL证书,因为这些域全部使用相同的通配符SSL证书。因此,针对顶层域的通配符域搜索可用作搜索变量以寻找针对任何子域的正确证书。
由于存在多个域名,在找到第一匹配时退出由于上文提及的重试逻辑在功能上是正确的。命名合约规定通配符证书被命名为_.contoso.com.pfx。如果images.contoso.com是第一匹配主机名,则服务器将首选尝试寻找不会被找到的images.contoso.com.pfx。接着重试逻辑进入并且尝试寻找会被找到的_.contoso.com.pfx。并且由于根据定义*.contoso.com证书可用于任何子域,它将正确地工作于images.contoso.com。
如图3的示例所解说的,第一匹配主机名是images.contoso.com、members.contoso.com还是secure.contoso.com并不重要。它们最初都将导致“文件未找到”错误,但web服务器将使用替换_.contoso.com.pfx搜索来正确定位SSL证书,_.contoso.com.pfx根据定义将工作于全部子域。
图4是用于标识web服务器上的SSL证书的方法或过程的流程图。在步骤401中,web服务器从客户端接收SSL问候消息。在步骤402中,web服务器确定该SSL问候消息不包括主机名。在步骤403中,使用与该SSL问候消息相关联的IP地址,从IP地址至主机名映射中标识一个或多个对应的主机名。Web服务器选择其中的一个主机名来搜索SSL证书。在一个实施例中,所选主机名是IP地址至主机名映射中的一个或多个对应主机名中第一列举主机名(例如images.contoso.com)。
在步骤404中,所选主机名通过附加文件扩展(例如.pfx)来修改以创建SSL证书搜索名称(例如images.contoso.com.pfx)。在步骤405中,使用新创建的SSL证书搜索名称来搜索SSL证书存储。如果在SSL证书存储中标识出与该SSL证书搜索名称相对应的SSL证书,则过程移动至步骤409并且在步骤410中将该SSL证书发送给客户端。
如果在步骤406中没有标识出与SSL证书相对应的SSL证书,则在步骤407中修改SSL证书搜索名称以创建经修改的SSL证书搜索名称。SSL证书搜索名称可以通过用通配符字符(例如“_”)来替换SSL证书搜索名称中的子域(例如images.)来修改。在步骤408中使用经修改的SSL证书搜索名称(例如_.contoso.pfx)来再次搜索SSL证书存储。如果在SSL证书存储中标识出与经修改的SSL证书搜索名称相对应的SSL证书,则过程移动至步骤409并且在步骤410中将该SSL证书发送给客户端。
所选主机名和SSL证书搜索名称可以使用如本文所述的命名约定(即,附加文件扩展并且加在通配符字符之前)或者使用支持搜索所存储的SSL证书的任何其他恰适修改来修改。
图5是根据一个实施例的用于将单名称SSL证书或具有多个主题名称的证书存储在web服务器上的SSL证书文件存储中的方法或过程的流程图。在步骤501中,SSL证书被标识为与web服务器相关联,诸如通过标识主存在web服务器上被列举在SSL证书中的域。在步骤502中,标识在SSL证书中列举的一个或多个主题名称。在步骤503中,对于一个或多个列举的主题名称中的每一个,相关联的SSL证书被保存到SSL证书存储。每一次保存SSL证书,就使用不同的文件名。每一文件名包括附加到一个或多个列举的主题名称的文件名扩展。
图6是根据一个实施例的用于将通配符SSL证书存储在web服务器上的SSL证书文件存储的方法或过程的流程图。在步骤601中,通配符SSL证书被标识为与web服务器相关联。在步骤602中,标识SSL证书中列举的顶域名(例如*.contoso.com)。在步骤603中,SSL证书使用包括附加到顶域名之前的通配符字符以及附加到列举的主机名之后的文件名扩展的文件名(例如_.contoso.com.pfx)被保存到SSL证书存储。
将理解,图4中的步骤401-410、图5中的步骤501-503以及图6中的步骤601-603可以同时和/或顺序地执行。还可以理解,每个步骤可以按任何顺序执行,且可被执行一次或重复执行。
图7解说了在其上可以实现图1-6的示例的适当的计算和联网环境700的示例。计算系统环境700只是合适计算环境的一个示例,而非意在暗示对本发明使用范围或功能有任何限制。本发明可用各种其他通用或专用计算系统环境或配置来操作。适用于本发明的公知计算系统、环境、和/或配置的示例包括但不限于:个人计算机、服务器计算机、手持式或膝上型设备、平板设备、多处理器系统、基于微处理器的系统、机顶盒、可编程消费电子产品、网络PC、微型计算机、大型计算机、包括任何以上系统或设备的分布式计算环境等等。
本发明可在诸如程序模块等由计算机执行的计算机可执行指令的通用上下文中描述。一般而言,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。本发明也可在其中由通过通信网络链接的远程处理设备执行任务的分布式计算环境中实现。在分布式计算环境中,程序模块可以位于包括存储器存储设备在内的本地和/或远程计算机存储介质中。
参考图7,用于实现本发明的各个方面的示例性系统可以包括计算机700形式的通用计算设备。组件可以包括,但不限于,处理单元701、诸如系统存储器等数据存储702、以及将包括数据存储702的各种系统组件耦合到处理单元701的系统总线703。系统总线703可以是若干类型的总线结构中的任一种,包括使用各种总线体系结构中的任一种的存储器总线或存储器控制器、外围总线、以及局域总线。作为示例而非限制,这样的架构包括工业标准架构(ISA)总线、微通道架构(MCA)总线、增强型ISA(EISA)总线、视频电子标准协会(VESA)局部总线、以及也称为夹层(Mezzanine)总线的外围组件互连(PCI)总线。
计算机700通常包括各种计算机可读介质704。计算机可读介质704可以是能由计算机701访问的任何可用介质,并同时包含易失性和非易失性介质以及可移动、不可移动介质,但不包括传播信号。作为示例而非限制,计算机可读介质704可包括计算机存储介质和通信介质。计算机存储介质包括以存储诸如计算机可读的指令、数据结构、程序模块或其他数据之类的信息的任何方法或技术实现的易失性和非易失性、可移动和不可移动介质。计算机存储介质包括,但不仅限于,RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、磁带盒、磁带、磁盘存储或其他磁存储设备,或可以用来存储所需信息并可以被计算机700访问的任何其他介质。通信介质通常以诸如载波或其他传输机制之类的已调制数据信号来体现计算机可读指令、数据结构、程序模块或其他数据,并且包括任何信息传送介质。术语“已调制数据信号”是指使得以在信号中编码信息的方式来设定或改变其一个或多个特征的信号。作为示例而非限制,通信介质包括诸如有线网络或直接线连接之类的有线介质,以及诸如声学、RF、红外及其他无线介质之类的无线介质。上面各项中的任何项的组合也包括在计算机可读介质的范围内。计算机可读介质可被实现为计算机程序产品,诸如存储在计算机存储介质上的软件。
数据存储或系统存储器702包括诸如只读存储器(ROM)和/或随机存取存储器(RAM)之类的易失性和/或非易失性存储器形式的计算机存储介质。基本输入/输出系统(BIOS)包含有助于诸如启动时在计算机700中元件之间传递信息的基本例程,它通常被存储在ROM中。RAM通常包含处理单元701可立即访问和/或当前正在操作的数据和/或程序模块。作为示例而非限制性,数据存储702保存操作系统、应用程序、其他程序模块、和程序数据。
数据存储702还可以包括其它可移动/不可移动、易失性/非易失性计算机存储介质。仅作为示例,数据存储702可以是对不可移动、非易失性磁介质进行读写的硬盘驱动器,对可移动、非易失性磁盘进行读写的磁盘驱动器,以及对诸如CD ROM或其它光学介质等可移动、非易失性光盘进行读写的光盘驱动器。可在示例性操作环境中使用的其它可移动/不可移动、易失性/非易失性计算机存储介质包括但不限于,磁带盒、闪存卡、数字多功能盘、数字录像带、固态RAM、固态ROM等。上文所描述的并且在图7中所显示的驱动器以及它们的关联的计算机存储介质,为计算机700提供对计算机可读取的指令、数据结构、程序模块及其他数据的存储。
用户可通过用户接口705或诸如平板、电子数字化仪、话筒、键盘和/或定点设备(通常指的是鼠标、跟踪球或触摸垫)等其它输入设备输入命令和信息。其他输入设备可以包括操纵杆、游戏垫、圆盘式卫星天线、扫描仪等等。另外,可使用语音输入或自然用户界面(NUI)。这些及其他输入设备常常通过耦合到系统总线703的用户输入接口705连接到处理单元701,但是,也可以通过其他接口和总线结构,如并行端口、游戏端口或通用串行总线(USB),来进行连接。监视器706或其他类型的显示设备也通过诸如视频接口之类的接口连接至系统总线703。监视器706也可以与触摸屏面板等集成。注意到监视器和/或触摸屏面板可以在物理上耦合至其中包括计算设备700的外壳,诸如在平板型个人计算机中。此外,诸如计算设备700等计算机还可以包括其他外围输出设备,诸如扬声器和打印机,它们可以通过输出外围接口等连接。
计算机700可使用至一个或多个远程计算机(如远程计算机)的逻辑连接707在网络化环境中操作。远程计算机可以是个人计算机、服务器、路由器、网络PC、对等设备或其它常见的网络节点,并且一般包括上面相对于计算机700所述的许多或全部元件。图7中所描述的逻辑连接包括一个或多个局域网(LAN)和一个或多个广域网(WAN),但是,也可以包括其他网络。此类联网环境在办公室、企业范围的计算机网络、内联网和因特网中是常见的。
当在LAN网络环境中使用时,计算机700通过网络接口或适配器707连接至LAN。当在WAN联网环境中使用时,计算机700通常包括调制解调器或用于通过诸如因特网等的WAN建立通信的其它装置。调制解调器可以是内置或外置的,它经由网络接口707或其它适当的机制连接至系统总线703。诸如包括接口和天线的无线联网组件可通过诸如接入点或对等计算机等合适的设备耦合到WAN或LAN。在联网环境中,相关于计算机700所示的程序模块或其部分可被存储在远程存储器存储设备中。可以理解,所示的网络连接是示例性的,也可以使用在计算机之间建立通信链路的其他手段。
尽管用结构特征和/或方法动作专用的语言描述了本主题,但可以理解,所附权利要求书中定义的主题不必限于上述具体特征或动作。更确切而言,上述具体特征和动作是作为实现权利要求的示例形式公开的。
Claims (10)
1.一种由web服务器执行的方法,包括:
从客户端接收SSL问候消息;
确定所述SSL问候消息不包括主机名;
使用与所述SSL问候消息相关联的IP地址和端口从IP:端口至主机名映射中标识一个或多个对应的主机名;
修改所选对应的主机名以创建SSL证书搜索名称;以及
使用所述SSL证书搜索名称来搜索SSL证书存储。
2.如权利要求1所述的方法,其特征在于,还包括:
标识所述SSL证书存储中与所述SSL证书搜索名称相对应的SSL证书;以及
将所述SSL证书发送给所述客户端。
3.如权利要求1所述的方法,其特征在于,所选对应的主机名是来自所述IP:端口至主机名映射的所述一个或多个对应主机名中第一列举的主机名。
4.如权利要求1所述的方法,其特征在于,还包括:
使用命名约定通过向所选对应的主机名添加文件名扩展来修改所选对应的主机名以创建所述SSL证书搜索名称。
5.如权利要求1所述的方法,其特征在于,还包括:
确定所述SSL证书存储中没有SSL证书与所述SSL证书搜索名称相对应;
修改所述SSL证书搜索名称以创建经修改的SSL证书搜索名称;以及
使用所述经修改的SSL证书搜索名称来搜索所述SSL证书存储。
6.如权利要求5所述的方法,其特征在于,还包括:
使用命名约定通过用通配符字符替换所述SSL证书搜索名称中的子域来修改所述SSL证书搜索名称。
7.如权利要求1所述的方法,其特征在于,所述IP:端口至主机名映射包括将IP:端口与多个主机名相关联的条目。
8.如权利要求4所述的方法,其特征在于,还包括:
标识与所述web服务器相关联的SSL证书;
标识所述SSL证书中列举的一个或多个主机名;以及
对于所述一个或多个列举的主机名中的每一个,使用包括附加到所述列举的主机名的文件名扩展的文件名将所述相关联的SSL证书保存到所述SSL证书存储。
9.如权利要求4所述的方法,其特征在于,还包括:
标识与所述web服务器相关联的通配符SSL证书;
标识所述SSL证书中列举的顶域名;以及
使用包括附加到所述顶域名之前的通配符字符以及附加到所述列举的主机名之后的文件名扩展的文件名将所述相关联的SSL证书保存到所述SSL证书存储。
10.一种计算机系统,包括:
一个或多个处理器;
系统存储器;
其上存储有计算机可执行指令的一种或多种计算机可读存储介质,所述指令在由一个或多个处理器执行时,致使所述处理器执行一种用于标识SSL证书的方法,所述处理器操作用于:
从客户端接收SSL问候消息;
使用与所述SSL问候消息相关联的IP地址和端口从IP:端口至主机名映射中标识一个或多个对应的主机名;
修改所选对应的主机名以创建SSL证书搜索名称;以及
使用所述SSL证书搜索名称来搜索SSL证书存储。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US13/359,507 | 2012-01-27 | ||
| US13/359,507 US8738902B2 (en) | 2012-01-27 | 2012-01-27 | Implicit SSL certificate management without server name indication (SNI) |
| PCT/US2013/022352 WO2013112389A1 (en) | 2012-01-27 | 2013-01-21 | Implicit ssl certificate management without server name indication (sni) |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104094554A true CN104094554A (zh) | 2014-10-08 |
| CN104094554B CN104094554B (zh) | 2017-05-03 |
Family
ID=48871366
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201380006965.5A Active CN104094554B (zh) | 2012-01-27 | 2013-01-21 | 无服务器名称指示(sni)的隐式ssl证书管理 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US8738902B2 (zh) |
| EP (1) | EP2807789B1 (zh) |
| JP (1) | JP6058699B2 (zh) |
| KR (1) | KR102025960B1 (zh) |
| CN (1) | CN104094554B (zh) |
| WO (1) | WO2013112389A1 (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107147497A (zh) * | 2017-05-02 | 2017-09-08 | 北京海泰方圆科技股份有限公司 | 信息处理方法和装置 |
| CN107493174A (zh) * | 2017-09-05 | 2017-12-19 | 成都知道创宇信息技术有限公司 | 基于cdn网络的ssl证书智能绑定与管理方法 |
| CN109413196A (zh) * | 2018-11-13 | 2019-03-01 | 四川长虹电器股份有限公司 | 一种智能匹配https访问证书的方法 |
| CN110213249A (zh) * | 2019-05-20 | 2019-09-06 | 网宿科技股份有限公司 | 基于请求粒度的证书动态加载方法、装置和服务器 |
| CN110825400A (zh) * | 2018-08-14 | 2020-02-21 | 杭州萤石软件有限公司 | 一种应用程序客户端的证书更新方法和系统 |
| CN111147251A (zh) * | 2019-12-18 | 2020-05-12 | 深圳市任子行科技开发有限公司 | 动态签发证书的方法及装置 |
| CN113746856A (zh) * | 2021-09-09 | 2021-12-03 | 上海格尔安全科技有限公司 | Ssl可选验证方法、装置、计算机设备和存储介质 |
Families Citing this family (44)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9015469B2 (en) | 2011-07-28 | 2015-04-21 | Cloudflare, Inc. | Supporting secure sessions in a cloud-based proxy service |
| WO2013123280A1 (en) * | 2012-02-16 | 2013-08-22 | F5 Network, Inc. | Methods for secure cummunication between network device services and devices thereof |
| US9237168B2 (en) * | 2012-05-17 | 2016-01-12 | Cisco Technology, Inc. | Transport layer security traffic control using service name identification |
| US8782774B1 (en) | 2013-03-07 | 2014-07-15 | Cloudflare, Inc. | Secure session capability using public-key cryptography without access to the private key |
| WO2014144808A1 (en) * | 2013-03-15 | 2014-09-18 | Netop Solutions A/S | System and method for secure application communication between networked processors |
| US9565198B2 (en) * | 2014-01-31 | 2017-02-07 | Microsoft Technology Licensing, Llc | Tenant based signature validation |
| US10524122B2 (en) | 2014-01-31 | 2019-12-31 | Microsoft Technology Licensing, Llc | Tenant based signature validation |
| US10389709B2 (en) | 2014-02-24 | 2019-08-20 | Amazon Technologies, Inc. | Securing client-specified credentials at cryptographically attested resources |
| US9332003B2 (en) * | 2014-03-20 | 2016-05-03 | Symantec Corporation | Systems and methods for discovering website certificate information |
| US10178181B2 (en) * | 2014-04-02 | 2019-01-08 | Cisco Technology, Inc. | Interposer with security assistant key escrow |
| US8966267B1 (en) | 2014-04-08 | 2015-02-24 | Cloudflare, Inc. | Secure session capability using public-key cryptography without access to the private key |
| US9184911B2 (en) * | 2014-04-08 | 2015-11-10 | Cloudflare, Inc. | Secure session capability using public-key cryptography without access to the private key |
| US8996873B1 (en) | 2014-04-08 | 2015-03-31 | Cloudflare, Inc. | Secure session capability using public-key cryptography without access to the private key |
| CN103973694B (zh) * | 2014-05-14 | 2017-05-10 | 北京太一星晨信息技术有限公司 | 安全套接层协议实体访问非连续内存的方法及接口装置 |
| US10171532B2 (en) * | 2014-09-30 | 2019-01-01 | Citrix Systems, Inc. | Methods and systems for detection and classification of multimedia content in secured transactions |
| US10303879B1 (en) | 2014-11-06 | 2019-05-28 | Amazon Technologies, Inc. | Multi-tenant trusted platform modules |
| US9525672B2 (en) * | 2014-12-19 | 2016-12-20 | Amazon Technologies, Inc. | Multi-faceted compute instance identity |
| US9756106B2 (en) | 2015-02-13 | 2017-09-05 | Citrix Systems, Inc. | Methods and systems for estimating quality of experience (QoE) parameters of secured transactions |
| CN105991589B (zh) * | 2015-02-13 | 2019-04-26 | 华为技术有限公司 | 一种用于重定向的方法、装置及系统 |
| US10021221B2 (en) | 2015-02-24 | 2018-07-10 | Citrix Systems, Inc. | Methods and systems for detection and classification of multimedia content in secured transactions using pattern matching |
| US20160255047A1 (en) * | 2015-02-26 | 2016-09-01 | Citrix Systems, Inc. | Methods and systems for determining domain names and organization names associated with participants involved in secured sessions |
| JP6471537B2 (ja) | 2015-02-27 | 2019-02-20 | ブラザー工業株式会社 | 通信機器 |
| US9893883B1 (en) * | 2015-06-26 | 2018-02-13 | Juniper Networks, Inc. | Decryption of secure sockets layer sessions having enabled perfect forward secrecy using a diffie-hellman key exchange |
| US10291651B1 (en) | 2015-06-26 | 2019-05-14 | Juniper Networks, Inc. | Unified secure socket layer decryption |
| US10193698B1 (en) | 2015-06-26 | 2019-01-29 | Juniper Networks, Inc. | Avoiding interdicted certificate cache poisoning for secure sockets layer forward proxy |
| US10305871B2 (en) | 2015-12-09 | 2019-05-28 | Cloudflare, Inc. | Dynamically serving digital certificates based on secure session properties |
| US10505985B1 (en) * | 2016-04-13 | 2019-12-10 | Palo Alto Networks, Inc. | Hostname validation and policy evasion prevention |
| GB2551580A (en) | 2016-06-24 | 2017-12-27 | Sony Corp | Data communications |
| US10326730B2 (en) | 2016-06-27 | 2019-06-18 | Cisco Technology, Inc. | Verification of server name in a proxy device for connection requests made using domain names |
| JP6668183B2 (ja) * | 2016-07-01 | 2020-03-18 | 株式会社東芝 | 通信装置、通信方法、通信システムおよびプログラム |
| US10320572B2 (en) * | 2016-08-04 | 2019-06-11 | Microsoft Technology Licensing, Llc | Scope-based certificate deployment |
| US11063758B1 (en) | 2016-11-01 | 2021-07-13 | F5 Networks, Inc. | Methods for facilitating cipher selection and devices thereof |
| JP6743906B2 (ja) | 2016-11-30 | 2020-08-19 | 日本電気株式会社 | 通信装置、通信方法、プログラム |
| US10545940B2 (en) * | 2017-02-22 | 2020-01-28 | Red Hat, Inc. | Supporting secure layer extensions for communication protocols |
| EP3709198B1 (en) * | 2017-11-09 | 2023-09-27 | Mitsubishi Electric Corporation | Information processing device and information processing method |
| US10728238B2 (en) | 2017-12-13 | 2020-07-28 | Paypal, Inc. | Systems and methods encrypting messages using multiple certificates |
| CN108156224B (zh) * | 2017-12-14 | 2020-11-13 | 格尔软件股份有限公司 | 基于tls协议sni机制实现自定义代理隧道协议的方法 |
| US10810279B2 (en) * | 2018-02-07 | 2020-10-20 | Akamai Technologies, Inc. | Content delivery network (CDN) providing accelerated delivery of embedded resources from CDN and third party domains |
| US10903990B1 (en) | 2020-03-11 | 2021-01-26 | Cloudflare, Inc. | Establishing a cryptographic tunnel between a first tunnel endpoint and a second tunnel endpoint where a private key used during the tunnel establishment is remotely located from the second tunnel endpoint |
| US11336692B1 (en) * | 2020-05-07 | 2022-05-17 | NortonLifeLock Inc. | Employing SNI hostname extraction to populate a reverse DNS listing to protect against potentially malicious domains |
| US11683301B2 (en) | 2020-07-27 | 2023-06-20 | Red Hat, Inc. | Automatically obtaining a signed digital certificate from a trusted certificate authority |
| EP4009602B1 (en) * | 2020-12-07 | 2022-11-09 | Siemens Healthcare GmbH | Providing a first digital certificate and a dns response |
| CN112714184B (zh) * | 2020-12-29 | 2022-07-15 | 杭州迪普科技股份有限公司 | 握手过程处理方法及装置 |
| CN113364795B (zh) * | 2021-06-18 | 2023-03-24 | 北京天空卫士网络安全技术有限公司 | 一种数据传输方法和代理服务器 |
Family Cites Families (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7000108B1 (en) * | 2000-05-02 | 2006-02-14 | International Business Machines Corporation | System, apparatus and method for presentation and manipulation of personal information syntax objects |
| US7209479B2 (en) | 2001-01-18 | 2007-04-24 | Science Application International Corp. | Third party VPN certification |
| JP3724564B2 (ja) * | 2001-05-30 | 2005-12-07 | 日本電気株式会社 | 認証システム及び認証方法並びに認証用プログラム |
| US7305492B2 (en) * | 2001-07-06 | 2007-12-04 | Juniper Networks, Inc. | Content service aggregation system |
| US7363353B2 (en) * | 2001-07-06 | 2008-04-22 | Juniper Networks, Inc. | Content service aggregation device for a data center |
| JP2003271553A (ja) * | 2002-03-18 | 2003-09-26 | Matsushita Electric Ind Co Ltd | ウェブサーバ端末とそのネットワークシステム、及びそのアクセス制御方法 |
| US7739494B1 (en) | 2003-04-25 | 2010-06-15 | Symantec Corporation | SSL validation and stripping using trustworthiness factors |
| US7017181B2 (en) | 2003-06-25 | 2006-03-21 | Voltage Security, Inc. | Identity-based-encryption messaging system with public parameter host servers |
| US20080010448A1 (en) | 2003-09-29 | 2008-01-10 | Ayman Llc | Delegated Certificate Authority |
| US7694135B2 (en) * | 2004-07-16 | 2010-04-06 | Geotrust, Inc. | Security systems and services to provide identity and uniform resource identifier verification |
| US7512974B2 (en) * | 2004-09-30 | 2009-03-31 | International Business Machines Corporation | Computer system and program to update SSL certificates |
| US8549157B2 (en) | 2007-04-23 | 2013-10-01 | Mcafee, Inc. | Transparent secure socket layer |
| JP2009217676A (ja) * | 2008-03-12 | 2009-09-24 | Oki Electric Ind Co Ltd | 保険金等申請受付装置、保険金等申請受付方法、およびプログラム |
| JP4252620B1 (ja) | 2008-08-27 | 2009-04-08 | グローバルサイン株式会社 | サーバ証明書発行システム |
| US8533333B2 (en) | 2008-09-03 | 2013-09-10 | Microsoft Corporation | Shared hosting using host name affinity |
| US8971539B2 (en) * | 2010-12-30 | 2015-03-03 | Verisign, Inc. | Management of SSL certificate escrow |
| US9015469B2 (en) * | 2011-07-28 | 2015-04-21 | Cloudflare, Inc. | Supporting secure sessions in a cloud-based proxy service |
-
2012
- 2012-01-27 US US13/359,507 patent/US8738902B2/en active Active
-
2013
- 2013-01-21 CN CN201380006965.5A patent/CN104094554B/zh active Active
- 2013-01-21 WO PCT/US2013/022352 patent/WO2013112389A1/en active Application Filing
- 2013-01-21 KR KR1020147020979A patent/KR102025960B1/ko active IP Right Grant
- 2013-01-21 EP EP13740916.5A patent/EP2807789B1/en active Active
- 2013-01-21 JP JP2014554755A patent/JP6058699B2/ja active Active
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107147497A (zh) * | 2017-05-02 | 2017-09-08 | 北京海泰方圆科技股份有限公司 | 信息处理方法和装置 |
| CN107147497B (zh) * | 2017-05-02 | 2018-07-06 | 北京海泰方圆科技股份有限公司 | 信息处理方法和装置 |
| CN107493174A (zh) * | 2017-09-05 | 2017-12-19 | 成都知道创宇信息技术有限公司 | 基于cdn网络的ssl证书智能绑定与管理方法 |
| CN107493174B (zh) * | 2017-09-05 | 2020-12-15 | 成都知道创宇信息技术有限公司 | 基于cdn网络的ssl证书智能绑定与管理方法 |
| CN110825400A (zh) * | 2018-08-14 | 2020-02-21 | 杭州萤石软件有限公司 | 一种应用程序客户端的证书更新方法和系统 |
| CN110825400B (zh) * | 2018-08-14 | 2024-04-23 | 杭州萤石软件有限公司 | 一种应用程序客户端的证书更新方法和系统 |
| CN109413196A (zh) * | 2018-11-13 | 2019-03-01 | 四川长虹电器股份有限公司 | 一种智能匹配https访问证书的方法 |
| CN110213249A (zh) * | 2019-05-20 | 2019-09-06 | 网宿科技股份有限公司 | 基于请求粒度的证书动态加载方法、装置和服务器 |
| CN111147251A (zh) * | 2019-12-18 | 2020-05-12 | 深圳市任子行科技开发有限公司 | 动态签发证书的方法及装置 |
| CN113746856A (zh) * | 2021-09-09 | 2021-12-03 | 上海格尔安全科技有限公司 | Ssl可选验证方法、装置、计算机设备和存储介质 |
| CN113746856B (zh) * | 2021-09-09 | 2023-04-07 | 上海格尔安全科技有限公司 | Ssl可选验证方法、装置、计算机设备和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2015513810A (ja) | 2015-05-14 |
| US8738902B2 (en) | 2014-05-27 |
| KR102025960B1 (ko) | 2019-09-26 |
| EP2807789B1 (en) | 2019-02-27 |
| WO2013112389A1 (en) | 2013-08-01 |
| JP6058699B2 (ja) | 2017-01-11 |
| CN104094554B (zh) | 2017-05-03 |
| EP2807789A1 (en) | 2014-12-03 |
| EP2807789A4 (en) | 2015-12-30 |
| KR20140117449A (ko) | 2014-10-07 |
| US20130198511A1 (en) | 2013-08-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104094554A (zh) | 无服务器名称指示(sni)的隐式ssl证书管理 | |
| US9722966B2 (en) | DNS-based determining whether a device is inside a network | |
| US6978364B1 (en) | VPN enrollment protocol gateway | |
| US8572691B2 (en) | Selecting a web service from a service registry based on audit and compliance qualities | |
| US7454421B2 (en) | Database access control method, database access controller, agent processing server, database access control program, and medium recording the program | |
| JP4055815B1 (ja) | 情報処理装置、制御プログラム、情報処理システム | |
| US20120036365A1 (en) | Combining request-dependent metadata with media content | |
| US8311225B2 (en) | Scalable key archival | |
| EP1626556A2 (en) | Information processing apparatus and method, and storage medium | |
| JP2012235464A (ja) | Dnssec署名サーバ | |
| US20150271170A1 (en) | Information processing apparatus, information processing system, information processing method, and recording medium | |
| JP2004118598A (ja) | ディジタル・サービス・システム | |
| US20210051029A1 (en) | Reestablishing secure communication with a server after the server's certificate is renewed with a certificate authority unknown to the client | |
| JP6185934B2 (ja) | サーバー・アプリケーションと多数の認証プロバイダーとの統合 | |
| US20100287600A1 (en) | Assigning User Requests of Different Types or Protocols to a User by Trust Association Interceptors | |
| JP4668099B2 (ja) | トランザクション認証方法、ファイル送受信システム、クライアント装置、サーバ装置、および記録媒体 | |
| JP2007060473A (ja) | 電子メール装置 | |
| JP6728706B2 (ja) | 情報処理システム、情報処理装置及び情報処理プログラム | |
| US9712716B2 (en) | Print system, control method, and print apparatus | |
| JP2005284986A (ja) | パスワード安全同期管理方法、パスワード安全同期管理プログラム及びパスワード安全同期管理プログラム記録媒体及びパスワード安全同期管理システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| ASS | Succession or assignment of patent right |
Owner name: MICROSOFT TECHNOLOGY LICENSING LLC Free format text: FORMER OWNER: MICROSOFT CORP. Effective date: 20150728 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20150728 Address after: Washington State Applicant after: Micro soft technique license Co., Ltd Address before: Washington State Applicant before: Microsoft Corp. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |