Всё о web

Для чайников и не только


Yandex money не поддерживают sni в sll

Август 18, 2017

Из яндекс.мани прилетел привет, из позапрошлого века. Оказалось, что бот, который рассылает уведомления о платежах не поддерживает SNI идентификацию в SSL соединении.

Таким образом, если у Вас на 1 IP адресе живёт пачка доменов, хер Вам, а не яндекс.мани. Переносите домен на выделенный IP, или умрите.

UPDATE

Оказалось всё на много печальней, чем можно было подумать. Да бот не умеет передавить SNI, но яндексовцы сделали гениальный финт, бот принимает любые сертификаты. В том числе и самоподписанные и сертификаты левых доменов, абсолютно любые.

Хочу напомнить, что главная задача SSL - это гарантировать подлинность сервера с с которым ты устанавливаешь соединение. Боту от яндекс кассы это просто пофиг. Лбой промежуточный маршрутизатор может прикинуться конечным веб-сайтом, подсунув любой сертификат. И вот нахера тогда ваще использовать SSL?

В итоге, мы теперь на любое соединение без SNI отдаём самоподписанный сертификат, что и решило проблему.



Комментарии

Оставить комментарий:

Ваш e-mail не будет опубликован. Обязательные поля помечены *