Hay un debate en curso en el security and trust working group for NHIN Directregarding the IP-to-domain mapping problem that is created with traditional SSL. Si un HISP (según lo define NHIN Direct) desea alojar miles de "Dominios de salud" NHIN Direct para proveedores, entonces tendrá un "costo inflado artificialmente" tener que comprar una IP para cada uno de esos dominios.TLS con SNI en clientes Java
Debido a que Apache y OpenSSL han publicado recientemente TLS con soporte para la extensión SNI, es posible utilizar SNI como una solución a este problema en el lado del servidor. Sin embargo, si decidimos que vamos a permitir implementaciones del servidor de la capa de transporte NHINDirect para admitir TLS + SNI, entonces debemos requerir que todos los clientes admitan también SNI. Los clientes basados en OpenSSL deberían hacer esto de forma predeterminada y uno siempre podría usar Stunnel para implementar un cliente TLS + SNI con proxy si su implementación de lenguaje de programación SSL no es compatible con SNI. Parece que las aplicaciones Java nativas que usan OpenJDK aún no son compatibles con SNI, pero no puedo obtener una respuesta directa de ese proyecto. Sé que hay bibliotecas OpenSSL Java disponibles, pero no tengo idea de si eso se consideraría viable.
¿Puede darme un resumen "de última generación" de dónde está el soporte TLS + SNI para clientes Java? Necesito una perspectiva de los implementadores de Java sobre esto.
Y si tiene problemas con la alerta unrecognized_name desde el servidor (que no puede ser ignorado en Clientes JSSE, ver http://bugs.sun.com/ bugdatabase/view_bug.do? bug_id = 7127374) puede desactivar el envío de SNI: jsse.enableSNIExtension = false – eckes
¿Alguna idea de cómo desactivar esto para los applets? – ivb
Puede agregar propiedades de sistema (globales) para Applets y WebStart en el Panel de control del sistema. El archivo JNLP no puede especificar los parámetros del sistema que no están en una lista blanca segura. (Creo que esa lista se puede modificar en alguna parte pero eso no es una interfaz oficial). – eckes