
<div dir="ltr"><br><div class="gmail_extra">Hi!<br></div><div class="gmail_extra"><br><div class="gmail_quote">2013/10/29 Andreas Schultz <span dir="ltr"><<a href="mailto:aschultz@tpip.net" target="_blank">aschultz@tpip.net</a>></span><br>

<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div class="im">Hi,<br>

<br>

----- Original Message -----<br>

</div><div class="im">> Hi,<br>

><br>

> I would like to have some feedback about the API modification.<br>

<br>

</div>Ingela is the authority to ask, so just my 2 cent here....<br>

<div class="im"><br>

> * Client side<br>

> No modification, SNI is used if the connection endpoint is a hostname,<br>

> not an ip address.<br>

<br>

</div>Like that<br>

<div class="im"><br></div></blockquote><div><br></div><div>Feels good and should be ok as unknown extensions should be ignored. <br></div><div><br> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">

<div class="im">

> * Server side<br>

> A new "sni_hosts" option can override ssl options on a per-hostname<br>

> basis: for exemple one can override the default certificate for the<br>

> <a href="http://vhost1.example.com" target="_blank">vhost1.example.com</a> hostname with the following ssl option:<br>

> {sni_hosts, [{"<a href="http://vhost1.example.com" target="_blank">vhost1.example.com</a>", [{certfile, "vhost1.pem"},<br>

> {keyfile,"vhost1.key"}]}]}<br>

<br>

</div>What about just 'hosts', the fact that is uses SNI does not really matter.<br>

<div class="im"><br></div></blockquote><div><br></div><div>I agree with Andreas on this point, SNI is an implementation detail.<br></div><div>Maybe virtual_hosts would be more describing of what it is actually used for.<br>

</div><div><br> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div class="im">

> A new ssl:sni_hostname/1 function was added to get the wanted<br>

> hostname, for exemple in yaws one can imagine calling this function to<br>

> serve the website corresponding to the sni hostname.<br>

><br>

> ok = ssl:ssl_accept(S),<br>

> SelectedHost = ssl:sni_hostname(S),<br>

<br>

</div>Looking at the SSL API, it feels like a simple hostname/1 call would be<br>

more in line with for example peername and sockname.<br></blockquote><div><br></div>This would be a function defined only for the server?  I like hostname!<br></div><div class="gmail_quote"><br><br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">


What would be the return if SNI wasn't negotiated, some kind of default,<br>

a special atom (e.g. undefined or unknown) or {error, unknown} ?<br>

<div class="im"><br></div></blockquote><div> </div><div>Maybe inet:gethostname() could be the default? So if the connection<br>represents a virtual host you will get its name and otherwise you will<br>get the actual hostname?!<br>

<br><br></div><div>Regards Ingela Erlang/OTP team - Ericsson AB<br></div><div><br><br><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div class="im">


> I recently updated the client side patch (the easier part), but need<br>

> some time to update the patch to work with the refactored ssl library.<br>

><br>

> Feedbacks are welcome ! :)<br>

<br>

</div><span class=""><font color="#888888">Andreas<br>

</font></span><div class=""><div class="h5"><br>

><br>

> Regards,<br>

><br>

> --<br>

> Julien Barbot<br>

><br>

><br>

> 2013/10/28 Andreas Schultz <<a href="mailto:aschultz@tpip.net">aschultz@tpip.net</a>><br>

> ><br>

> > Hi,<br>

> ><br>

> > ----- Original Message -----<br>

> > > Hi!<br>

> > ><br>

> > > If I remember correctly someone worked on a contribution for this, but I<br>

> > > where in the middle of refactoring<br>

> > > things and I think it was not quite finished.<br>

> ><br>

> > Found it:<br>

> > <a href="http://erlang.org/pipermail/erlang-patches/2012-May/002787.html" target="_blank">http://erlang.org/pipermail/erlang-patches/2012-May/002787.html</a><br>

> ><br>

> > And copied the original author... would be nice to have this in R17<br>

> ><br>

> > Andreas<br>

> ><br>

> > > Since then I have not had time<br>

> > > to follow up on it. I think it would<br>

> > > not be too hard to add support for it, but it is not our priority at the<br>

> > > moment, so please feel free to contribute.<br>

> > > And it is quite ok to send in a "pre-patch" to get feed back on API<br>

> > > choices<br>

> > > before you make the patch conform to all patch requirements.<br>

> > ><br>

> > > Regards Ingela Erlang/OTP team - Ericssson AB<br>

> > ><br>

> > ><br>

> > > 2013/10/25 Sergej Jurecko < <a href="mailto:sergej.jurecko@gmail.com">sergej.jurecko@gmail.com</a> ><br>

> > ><br>

> > ><br>

> > > hello,<br>

> > ><br>

> > > Is it possible to host multiple ssl certificates for different domains on<br>

> > > a<br>

> > > single IP and port? Like nginx is capable of doing.<br>

> > ><br>

> > ><br>

> > > Sergej<br>

><br>

<br>

</div></div><div class=""><div class="h5">--<br>

--<br>

Dipl. Inform.<br>

Andreas Schultz<br>

</div></div></blockquote></div><br></div></div>