17/09/27 19:43:20.44 .net
>>501
通信をTLSにするのかどうかの決定権が完全にサーバにあればそれでよい
だがクライアントがHTTPSでリクエストする以上はクライアントが秘匿通信を望んでいるのであって, サーバが(証明書がないために)勝手に秘匿通信は行わないよと一方的に宣言するわけだ
これを許容するということはクライアントとサーバの間に中間者が割り入ってHTTPSを勝手にHTTPに置き換え, クライアントは知らないうちに暗号化されない通信をさせられるMITM攻撃が可能になるということだ
許容出来る話ではなかろう
TLSより下位のTCPレイヤで接続を拒否するという発想はあり得るが, ホスト名はHTTPに乗っているからやはりバーチャルホストでは適用出来ない