Dlaczego dostawca hostingu nie zezwala na SSL przez port 443? [Zamknięte]

18

Konfiguruję witrynę i kupiłem certyfikat SSL dla domeny witryny. Kiedy zapytałem firmę hostingową, dlaczego https://www.example.comodmawia połączenia, odpowiedzieli, że dostęp do protokołu SSL został skonfigurowany na porcie 41696. Oczywiście https://www.example.com:41696działa tak, jak obiecali, ale tak naprawdę nie jest to adres URL, którego chciałbym użyć dla witryny skierowanej do klienta.

Firma hostingowa powiedziała również, że nie może zmienić jej na 443, nawet jeśli otrzymamy inny pakiet. Nigdy nie słyszałem o tym od innych dostawców hostingu, z którymi współpracowałem. Czy istnieje dobry powód, dla którego nie pozwalają na to? Czy też jest jakaś konfiguracja, którą mogę zmienić na serwerze, która pozwoli akceptować żądania HTTPS na porcie 443?

linux apache-2.2 ssl webtopf
źródło
44
Nie ma ku temu dobrego powodu. Nie dawaj im żadnych pieniędzy i idź znaleźć innego dostawcę.
Michael Hampton
4
Zgodzić się. Brak dobrych powodów do tego, kilka bardzo dobrych powodów zrobić nie do. To powiedziawszy, chciałbym usłyszeć ich wyjaśnienie ...
Shadur
12
Wygląda na to, że są idiotami - zachęcamy do nazywania ich i zawstydzania, aby inni nie popełnili tego samego błędu w wyborze. Poważnie.
Chopper3
2
Proszę zobaczyć moją odpowiedź w tym drugim poście z dodatkowych powodów, dla których udostępnianie publicznie dostępnej witryny HTTPS przez niestandardowy port jest strasznym, okropnym pomysłem. Zdecydowanie zmień dostawców hostingu.
MonkeyZeus
3
Naprawdę nie rozumiem, dlaczego to pytanie nie zostało zamknięte. Nie chodzi o administrację systemem. Dlaczego $ unnamedcompany robi $ rzecz, na którą można rozsądnie odpowiedzieć tylko przez $ unnamedcompany. Wszystko inne zgaduje i nie robimy tego tutaj.
user9517 obsługiwany GoFundMonica

Odpowiedzi:

28

Historycznie HTTPS wymagał dedykowanego adresu IP na witrynę / certyfikat , ponieważ przeglądarka musi zweryfikować certyfikat przed wysłaniem Hostnagłówka. Możliwe jest, że twój dostawca hostingu zamiast tego używa dedykowanych portów w celu ochrony adresów IP.

Obecnie jednak prawie wszystkie współczesne przeglądarki obsługują funkcję Server Name Indication , która umożliwia wirtualny hosting wielu witryn HTTPS pod tym samym adresem IP i portem, więc nawet to nie jest już szczególnie dobry powód. Jeśli jest to wspólna usługa hostingowa, jest mało prawdopodobne, aby były jakieś zmiany w konfiguracji, które można wprowadzić, aby witryna była dostępna na domyślnym porcie.

Miles
źródło
1
To jest to. :) Nie ma w tym nic dziwnego, tylko stary dostawca z jego starymi ograniczeniami. Zmień dostawcę i odnów certyfikat.
Daniel
5
@Daniel Moim zdaniem robienie tego w 2016 roku jest „dziwne”. Odpowiedni RFC pochodzi z czerwca 2003 r. (!) Są to trzynaście lat . (Tak, wiem, że zajmuje trochę czasu między wysyłaniem próśb o komentarze a faktyczną implementacją, ale jeśli jest to powód, dla którego środowisko dostawcy wygląda tak, to zdecydowanie za dużo czasu (moim zdaniem).)
gf_
7
Aby dodać kompletność, SNI jest obsługiwany przez wszystkie główne przeglądarki, ale wiele narzędzi biznesowych, starsze serwery aplikacji, a nawet niektóre nowoczesne biblioteki nie obsługują poprawnie SNI. Sprawdź to i uzyskaj fakty na podstawie konkretnego przypadku użycia.
Aaron
9

tl; dr: Zmień dostawcę, ten wydaje się trochę dziwny.

Czy istnieje dobry powód, dla którego nie pozwalają na to?

Zależy od tego, co uważa się za „dobry powód”, ale moim zdaniem: Nie.

Czy też jest jakaś konfiguracja, którą mogę zmienić na serwerze, która pozwoli akceptować żądania https na porcie 443?

Jeśli dostawca blokuje / filtruje dostęp, niestety nie możesz nic na to poradzić po swojej stronie.

gf_
źródło
7

Możliwe wyjaśnienie:

Istnieje co najmniej kilku dostawców, którzy sprzedają ci maszyny wirtualne, które mają swoje odrębne adresy IPV6, ale wspólny adres IPV4. Jednym z przykładów jest to (ten link w żadnym wypadku nie powinien być postrzegany jako poparcie lub reklama). Zazwyczaj dostajesz kilka portów do przodu, ale są one oparte na TCP (bez SNI, nagłówka hosta HTTP itp.), Więc numer portu jest jedynym sposobem na wybranie hosta.

Ponieważ adresy IPV4 stają się coraz rzadsze, jest to jeden ze sposobów oszczędzania na nich.

Jeśli witryna jest przeznaczona dla organizacji charytatywnej lub podobnej, która ma niewiele funduszy i absolutnie musisz trzymać się najniższej możliwej ceny, prawdopodobnie możesz skonfigurować bezpłatny plan chmury, który przekieruje twoją-domena.com:443 na twój port 41696.

Jeśli nie, zdobądź innego hostera.

Guntram Blohm wspiera Monikę
źródło
1
Cloudflare nie dokona przekierowania portów.
Kanadyjczyk Luke REINSTATE MONICA
5
W tym scenariuszu łatwo jest przesłać HTTPS z SNI (np. Z haproxy); jeśli dostawca tego nie robi, to jest albo leniwy, albo niekompetentny. Tak czy inaczej, nie chcesz dać im swoich pieniędzy.
Michael Hampton
1
Sądzę, że gdybym oferował vps w cenie 2,50 rocznie , byłbym zbyt leniwy, aby wykonać jakąkolwiek konfigurację specyficzną dla klienta. Oczywiście taki vps nie jest prawdopodobnie dobrą platformą dla witryny firmowej, która ma jakiekolwiek wymagania dotyczące niezawodności. Więc zgódź się: uruchom swoją witrynę w innym miejscu.
Guntram Blohm wspiera Monikę
@CanadianLuke, ale jeśli podasz Cloudfllare tylko adres IP IPv6, wykonają przekazywanie IPv4-> IPv6.
Josef