Wiele prywatnych certyfikatów SSL na jednym wspólnym planie hostingowym? [Zamknięte]

Ostatnio skontaktowałem się z moim dostawcą hostingu współdzielonego w sprawie ustawienia prywatnego SSL dla kilku moich stron. Mam kilka witryn hostowanych w ramach tego samego planu (plan pozwala na nieograniczoną liczbę domen). Powiedziano mi jednak, że ponieważ jest to hosting dzielony i ostatecznie każda witryna działa z tego samego adresu IP, mogę zainstalować tylko jeden certyfikat i zabezpieczyć tylko 1 z moich witryn (ponieważ każdy certyfikat wymaga dedykowanego adresu IP).

Inną opcją, którą mi dali, było użycie wspólnego certyfikatu; jest to niedopuszczalne, ponieważ przeglądarka wygeneruje ostrzeżenie o certyfikacie. Moje pytanie brzmi: czy jest to typowe dla dostawców hostingu współdzielonego, czy też mogę znaleźć takiego, który pozwala mi na wiele prywatnych certyfikatów? Obecnie rozwijam kilka witryn i chciałbym utrzymać koszty na minimalnym poziomie, dlatego jeszcze nie aktualizuję do VPS ani dedykowanego hostingu. Dzięki.

Informacje przekazane przez twojego współdzielonego dostawcę hostingu były rzeczywiście dokładne.

Ruch oparty na protokole SSL musi być powiązany z jednym adresem IP, aby można było nawiązać wstępne uzgadnianie SSL i szyfrowane połączenie. Wszystko to odbywa się, zanim serwer WWW otrzyma nawet żądany identyfikator URI. Z tego powodu do każdego adresu IP można przypisać tylko jeden certyfikat. Chociaż możesz mieć nieograniczoną liczbę domen powiązanych z jednym adresem IP, co wyklucza instalację certyfikatu SSL.

Wielu współdzielonych dostawców pozwoli ci zapłacić za dodatkowy adres IP w niektórych wspólnych planach hostingowych, aby umożliwić wykorzystanie certyfikatów SSL. Może się okazać, że twój dostawca faktycznie to oferuje, ale może być dostępny tylko w innym abonamencie, ponieważ byłoby to uważane za bardziej zaawansowaną usługę, więc może nie być dostępne z prostszym planem hostingowym.

Edycja: To pytanie pochodzi z 2009 roku, kiedy odpowiedź (poniżej) była poprawna. Jeśli ludzie napotkają teraz na te informacje, jest to mniej lub bardziej nieistotne:

Pytanie dotyczy protokołu SSL , a podane przez ciebie ograniczenie dotyczące protokołu SSL było i nadal jest prawidłowe. Jednak wszyscy używają TLS teraz i Server Name Indication (SNI) jest szeroko dostępny, rozwiązując dokładnie ten problem. Oczywiście nadal możesz nadal używać certyfikatów wieloznacznych, ale możliwe są również indywidualne certyfikaty dla każdego hosta TLS .

To nie pomoże w sytuacji z pierwotnego pytania z 2009 roku, ale aktualizuje odpowiedź, aby była bardziej odpowiednia w momencie edycji, 2015

Oryginalna odpowiedź z 2009 roku:

Informacje o 1 punkcie końcowym https na adres IP są poprawne. Protokół jest taki, że szyfrowanie rozpoczyna się, zanim klient i serwer wynegocjują adres URL, który byłby wymagany dla VirtualHosts do włączenia SSL. Klucz / certyfikat zależałby od adresu URL - czyli nazwy hosta - do konfigurowania wielu certyfikatów w jednym adresie IP, ale jest używany, zanim serwer wie, z którym adresem URL ma się skontaktować.

Rozumiem, że protokół jest w trakcie opracowywania, ale obecnie nie ma rozwiązania tego problemu - przynajmniej nie jest ogólnie dostępny.

Aktualizacja: jeśli uzyskasz tylko 1 adres IP, możesz skorzystać z certyfikatów wieloznacznych. Zasadniczo potwierdzają tożsamość nie dla www.example.com, ale dla * .example.com, dzięki czemu możesz mieć wiele hostów współużytkujących ten sam adres IP bez generowania żadnego ostrzeżenia w przeglądarce.

Istnieją tylko dwa sposoby zabezpieczenia wielu domen korzystających z tego samego adresu IP. Użyj różnych portów usług dla każdego certyfikatu (ta opcja jest do bani) lub znajdź urząd certyfikacji, który zezwala na nazwę podmiotu w ramach certyfikatów.

Dzięki SubjectAltName możesz zdefiniować dowolną liczbę wpisów DNS na certyfikat. Oznacza to, że jeden certyfikat uwierzytelni kilka domen. Jest to poza znakami wieloznacznymi, ponieważ domeny nie muszą mieć ze sobą nic wspólnego. Jako przykład tego możesz sprawdzić CAcert, który pozwala na to.

Tak już nie jest w przypadku używania Apache 2.2.12 implementującego SNI, pojedynczy adres nie jest już wymagany na certyfikat. Mamy nadzieję, że zobaczymy więcej tego udostępnionego hostingu współdzielonego.

https://www.digicert.com/ssl-support/apache-multiple-ssl-certificates-using-sni.htm

Jeśli możesz znaleźć współdzielonego hosta, który da ci wiele adresów IP, możesz uzyskać wiele certyfikatów, ale tak naprawdę nie mogę (jak rozumiem) mieć wiele certyfikatów na tym samym adresie IP, chyba że jest to współużytkowane.

Jeśli chcesz czegoś bardziej opłacalnego (i nie boisz się wykonać własnej pracy konfiguracyjnej), możesz spojrzeć na chmurę rackspace (wcześniej Mosso, podobnie jak EC2, tylko trochę taniej ... możesz teoretycznie uruchom serwer deweloperów za około 15 USD miesięcznie): http://www.rackspacecloud.com

[AKTUALIZACJA] Nie masz jeszcze wystarczającej liczby przedstawicieli do skomentowania, ale jak podano poniżej, możesz technicznie uzyskać certyfikat zastępczy, który jest ważny dla wszystkich poddomen domeny (* .example.com, w tym www.example.com). Jednak to nie działa z wieloma domenami, nadal będziesz potrzebować wielu adresów IP z powodów wyjaśnionych przez Olafa.

To nie jest tak przydatna odpowiedź w tej chwili, ale w przyszłości powinieneś być w stanie korzystać z Server Name Indication , który wykorzystuje rozszerzenie protokołu TLS do wysyłania nazwy serwera w ramach uzgadniania TLS. Jest określony w RFC3546 . Niestety nie jest zbyt dobrze obsługiwany. OpenSSL nie włącza go domyślnie do wersji 0.9.8j, która została wydana 5 miesięcy temu. IE w systemie Windows XP nie obsługuje go, ale działa w systemie Vista. IIS po prostu w ogóle go nie obsługuje. Dopóki wszyscy użytkownicy na XP nie znikną, a Twój dostawca hostingu zaktualizuje swoje serwery, nic nie możesz na to poradzić.

Prawdą jest, że nie można mieć wielu certyfikatów ssl dla jednego adresu IP.

Jednak technicznie możliwe jest uzyskanie certyfikatu, który jest ważny dla domena1.przyklad.org domena2.przyklad.com itp.

Oto przykład.

Czy Twój host nie pozwala Ci mieć dedykowanych adresów IP? Powinieneś być w stanie znaleźć hosta, który pozwala na zakup planu z hostingiem dzielonym, ale dedykowanymi adresami IP. Robimy to teraz na przykład dzięki Server Intellect www.serverintellect.com . Zasadniczo pobierają nam osobną niewielką opłatę za każde dedykowane IP, którego potrzebujemy.

Z powodzeniem wdrożyłem wiele certyfikatów SSL na jednym, ale dedykowanym hoście, używając aliasingu IP. Nie mogę odpowiedzieć na pytanie, w jaki sposób można lub należy go użyć w ramach wspólnego hostingu. Uważam, że ten artykuł na temat IBM Developerworks jest bardzo pouczający.