Yandex money не поддерживают sni в sll



Из яндекс.мани прилетел привет, из позапрошлого века. Оказалось, что бот, который рассылает уведомления о платежах не поддерживает SNI идентификацию в SSL соединении.

Таким образом, если у Вас на 1 IP адресе живёт пачка доменов, хер Вам, а не яндекс.мани. Переносите домен на выделенный IP, или умрите.

UPDATE

Оказалось всё на много печальней, чем можно было подумать. Да бот не умеет передавить SNI, но яндексовцы сделали гениальный финт, бот принимает любые сертификаты. В том числе и самоподписанные и сертификаты левых доменов, абсолютно любые.

Хочу напомнить, что главная задача SSL - это гарантировать подлинность сервера с с которым ты устанавливаешь соединение. Боту от яндекс кассы это просто пофиг. Лбой промежуточный маршрутизатор может прикинуться конечным веб-сайтом, подсунув любой сертификат. И вот нахера тогда ваще использовать SSL?

В итоге, мы теперь на любое соединение без SNI отдаём самоподписанный сертификат, что и решило проблему.


Сообщество: AWS

Комментариев(0)


Всего: 0 комментариев на 0 страницах

Ваш комментарий будет анонимным. Чтобы оставить не анонимный комментарий, пожалуйста, зарегистрируйтесь



Сообщества