Wiele prywatnych certyfikatów SSL na jednym wspólnym planie hostingowym? [Zamknięte]

12

Ostatnio skontaktowałem się z moim dostawcą hostingu współdzielonego w sprawie ustawienia prywatnego SSL dla kilku moich stron. Mam kilka witryn hostowanych w ramach tego samego planu (plan pozwala na nieograniczoną liczbę domen). Powiedziano mi jednak, że ponieważ jest to hosting dzielony i ostatecznie każda witryna działa z tego samego adresu IP, mogę zainstalować tylko jeden certyfikat i zabezpieczyć tylko 1 z moich witryn (ponieważ każdy certyfikat wymaga dedykowanego adresu IP).

Inną opcją, którą mi dali, było użycie wspólnego certyfikatu; jest to niedopuszczalne, ponieważ przeglądarka wygeneruje ostrzeżenie o certyfikacie. Moje pytanie brzmi: czy jest to typowe dla dostawców hostingu współdzielonego, czy też mogę znaleźć takiego, który pozwala mi na wiele prywatnych certyfikatów? Obecnie rozwijam kilka witryn i chciałbym utrzymać koszty na minimalnym poziomie, dlatego jeszcze nie aktualizuję do VPS ani dedykowanego hostingu. Dzięki.

em444
źródło

Odpowiedzi:

6

Informacje przekazane przez twojego współdzielonego dostawcę hostingu były rzeczywiście dokładne.

Ruch oparty na protokole SSL musi być powiązany z jednym adresem IP, aby można było nawiązać wstępne uzgadnianie SSL i szyfrowane połączenie. Wszystko to odbywa się, zanim serwer WWW otrzyma nawet żądany identyfikator URI. Z tego powodu do każdego adresu IP można przypisać tylko jeden certyfikat. Chociaż możesz mieć nieograniczoną liczbę domen powiązanych z jednym adresem IP, co wyklucza instalację certyfikatu SSL.

Wielu współdzielonych dostawców pozwoli ci zapłacić za dodatkowy adres IP w niektórych wspólnych planach hostingowych, aby umożliwić wykorzystanie certyfikatów SSL. Może się okazać, że twój dostawca faktycznie to oferuje, ale może być dostępny tylko w innym abonamencie, ponieważ byłoby to uważane za bardziej zaawansowaną usługę, więc może nie być dostępne z prostszym planem hostingowym.

Jeremy Bouse
źródło
5

Edycja: To pytanie pochodzi z 2009 roku, kiedy odpowiedź (poniżej) była poprawna. Jeśli ludzie napotkają teraz na te informacje, jest to mniej lub bardziej nieistotne:

Pytanie dotyczy protokołu SSL , a podane przez ciebie ograniczenie dotyczące protokołu SSL było i nadal jest prawidłowe. Jednak wszyscy używają TLS teraz i Server Name Indication (SNI) jest szeroko dostępny, rozwiązując dokładnie ten problem. Oczywiście nadal możesz nadal używać certyfikatów wieloznacznych, ale możliwe są również indywidualne certyfikaty dla każdego hosta TLS .

To nie pomoże w sytuacji z pierwotnego pytania z 2009 roku, ale aktualizuje odpowiedź, aby była bardziej odpowiednia w momencie edycji, 2015


Oryginalna odpowiedź z 2009 roku:

Informacje o 1 punkcie końcowym https na adres IP są poprawne. Protokół jest taki, że szyfrowanie rozpoczyna się, zanim klient i serwer wynegocjują adres URL, który byłby wymagany dla VirtualHosts do włączenia SSL. Klucz / certyfikat zależałby od adresu URL - czyli nazwy hosta - do konfigurowania wielu certyfikatów w jednym adresie IP, ale jest używany, zanim serwer wie, z którym adresem URL ma się skontaktować.

Rozumiem, że protokół jest w trakcie opracowywania, ale obecnie nie ma rozwiązania tego problemu - przynajmniej nie jest ogólnie dostępny.

Aktualizacja: jeśli uzyskasz tylko 1 adres IP, możesz skorzystać z certyfikatów wieloznacznych. Zasadniczo potwierdzają tożsamość nie dla www.example.com, ale dla * .example.com, dzięki czemu możesz mieć wiele hostów współużytkujących ten sam adres IP bez generowania żadnego ostrzeżenia w przeglądarce.

Olaf
źródło
czy mógłbyś rozwinąć swoją aktualizację: czy to nadal nie wygenerowałoby ostrzeżenia certyfikatu dla witryny innej niż * .example?
em444
Tak to zrobi. Symbole wieloznaczne są naprawdę przydatne tylko dla hostów w tej samej domenie, ale zgaduję, że hostujesz wiele różnych domen.
David Pashley,
Tak, i wydaje mi się, że nie mogę znaleźć sposobu na obejście wielu planów hostingowych lub planu dedykowanego ...
em444,
Dzięki David za odpowiedź na pierwsze pytanie - odeszłam wkrótce po udzieleniu odpowiedzi. Jednak do hostowania wielu witryn https nie potrzebujesz więcej niż jednego serwera. Zupełnie dobrze jest mieć jeden serwer z wieloma adresami IP i powiązać każdy z adresów z własnym wirtualnym hostem ssl. Ograniczeniem jest adres IP (i ewentualnie ograniczenia sprzętowe narzucone przez serwer (y)). Musisz tylko znaleźć hosta, który zapewnia wiele adresów IP na serwer. Wspomnieć Multidomain https gospodarzem jest zwykle powodem ich zaakceptować, jeśli są w tym biznesie w ogóle.
Olaf
1

Istnieją tylko dwa sposoby zabezpieczenia wielu domen korzystających z tego samego adresu IP. Użyj różnych portów usług dla każdego certyfikatu (ta opcja jest do bani) lub znajdź urząd certyfikacji, który zezwala na nazwę podmiotu w ramach certyfikatów.

Dzięki SubjectAltName możesz zdefiniować dowolną liczbę wpisów DNS na certyfikat. Oznacza to, że jeden certyfikat uwierzytelni kilka domen. Jest to poza znakami wieloznacznymi, ponieważ domeny nie muszą mieć ze sobą nic wspólnego. Jako przykład tego możesz sprawdzić CAcert, który pozwala na to.

OliverS
źródło
0

Jeśli możesz znaleźć współdzielonego hosta, który da ci wiele adresów IP, możesz uzyskać wiele certyfikatów, ale tak naprawdę nie mogę (jak rozumiem) mieć wiele certyfikatów na tym samym adresie IP, chyba że jest to współużytkowane.

Jeśli chcesz czegoś bardziej opłacalnego (i nie boisz się wykonać własnej pracy konfiguracyjnej), możesz spojrzeć na chmurę rackspace (wcześniej Mosso, podobnie jak EC2, tylko trochę taniej ... możesz teoretycznie uruchom serwer deweloperów za około 15 USD miesięcznie): http://www.rackspacecloud.com

[AKTUALIZACJA] Nie masz jeszcze wystarczającej liczby przedstawicieli do skomentowania, ale jak podano poniżej, możesz technicznie uzyskać certyfikat zastępczy, który jest ważny dla wszystkich poddomen domeny (* .example.com, w tym www.example.com). Jednak to nie działa z wieloma domenami, nadal będziesz potrzebować wielu adresów IP z powodów wyjaśnionych przez Olafa.

Ian Selby
źródło
Tak, zajrzałem do certyfikatu wildcard i okazało się, że byłoby to droższe niż zwykłe zapisanie się na dodatkowe plany hostingowe ....
em444
0

To nie jest tak przydatna odpowiedź w tej chwili, ale w przyszłości powinieneś być w stanie korzystać z Server Name Indication , który wykorzystuje rozszerzenie protokołu TLS do wysyłania nazwy serwera w ramach uzgadniania TLS. Jest określony w RFC3546 . Niestety nie jest zbyt dobrze obsługiwany. OpenSSL nie włącza go domyślnie do wersji 0.9.8j, która została wydana 5 miesięcy temu. IE w systemie Windows XP nie obsługuje go, ale działa w systemie Vista. IIS po prostu w ogóle go nie obsługuje. Dopóki wszyscy użytkownicy na XP nie znikną, a Twój dostawca hostingu zaktualizuje swoje serwery, nic nie możesz na to poradzić.

David Pashley
źródło
To dobrze wiedzieć .. niestety prawdopodobnie nie jest to opcja od dłuższego czasu ... czy zdarza się, że wiesz, czy hosting VPS pozwoliłby mi osiągnąć mój cel (niewiele wiem na ten temat) .. jeśli nie, jaki rodzaj planu hostingowego czy muszę pozwolić na to ... dzięki
em444
Potrzebujesz dostawcy usług hostingowych, który da ci tyle adresów IP, ile potrzebujesz. Możesz znaleźć dostawcę VPS, który to zrobi, ale podejrzewam, że bardziej prawdopodobne jest, że znajdziesz serwer dedykowany z tą opcją, która będzie dwa do trzech razy droższa.
David Pashley,
0

Prawdą jest, że nie można mieć wielu certyfikatów ssl dla jednego adresu IP.

Jednak technicznie możliwe jest uzyskanie certyfikatu, który jest ważny dla domena1.przyklad.org domena2.przyklad.com itp.

Oto przykład.

cstamas
źródło
0

Czy Twój host nie pozwala Ci mieć dedykowanych adresów IP? Powinieneś być w stanie znaleźć hosta, który pozwala na zakup planu z hostingiem dzielonym, ale dedykowanymi adresami IP. Robimy to teraz na przykład dzięki Server Intellect www.serverintellect.com . Zasadniczo pobierają nam osobną niewielką opłatę za każde dedykowane IP, którego potrzebujemy.

Charles
źródło
0

Z powodzeniem wdrożyłem wiele certyfikatów SSL na jednym, ale dedykowanym hoście, używając aliasingu IP. Nie mogę odpowiedzieć na pytanie, w jaki sposób można lub należy go użyć w ramach wspólnego hostingu. Uważam, że ten artykuł na temat IBM Developerworks jest bardzo pouczający.


źródło