ใบรับรอง SSL ส่วนตัวหลายใบในแผนโฮสติ้งที่แชร์เดียว [ปิด]


12

เมื่อเร็ว ๆ นี้ฉันได้ติดต่อผู้ให้บริการโฮสต์ที่ใช้ร่วมกันของฉันเกี่ยวกับการตั้งค่า SSL ส่วนตัวสำหรับเว็บไซต์ของฉันสองสามแห่ง ฉันมีหลายเว็บไซต์โฮสต์ภายใต้แผนเดียวกัน (แผนอนุญาตให้ใช้โดเมนไม่ จำกัด จำนวน) อย่างไรก็ตามฉันได้รับแจ้งว่าเนื่องจากเป็นโฮสติ้งที่ใช้ร่วมกันและในที่สุดแต่ละไซต์จะทำงานจากที่อยู่ IP เดียวกันฉันสามารถติดตั้งใบรับรองเดียวเท่านั้นและปลอดภัยเพียง 1 ไซต์ของฉัน (เนื่องจากใบรับรองแต่ละฉบับต้องใช้ IP เฉพาะ)

ตัวเลือกอื่นที่พวกเขาให้ฉันคือการใช้ใบรับรองที่ใช้ร่วมกัน; สิ่งนี้ไม่สามารถยอมรับได้เนื่องจากเบราว์เซอร์จะสร้างคำเตือนใบรับรอง คำถามของฉันคือ: เป็นผู้ให้บริการโฮสติ้งที่ใช้ร่วมกันหรือไม่ ขณะนี้ฉันกำลังพัฒนาเว็บไซต์หลายแห่งและต้องการรักษาค่าใช้จ่ายให้น้อยที่สุดซึ่งเป็นสาเหตุที่ฉันยังไม่อัปเกรดเป็น VPS หรือโฮสติ้งเฉพาะ ขอบคุณ

คำตอบ:


6

ข้อมูลที่ผู้ให้บริการโฮสต์ที่ใช้ร่วมกันให้กับคุณนั้นถูกต้องแน่นอน

ทราฟฟิกที่ใช้ SSL จะต้องเชื่อมโยงกับที่อยู่ IP เดียวเพื่อให้การเชื่อมต่อ SSL เริ่มต้นและการเชื่อมต่อที่เข้ารหัสสามารถเริ่มต้นได้ สิ่งนี้เสร็จสิ้นก่อนเว็บเซิร์ฟเวอร์จะแสดงด้วย URI ที่ร้องขอ ด้วยเหตุนี้คุณจึงสามารถมีใบรับรองได้เพียงหนึ่งฉบับเท่านั้นที่ผูกกับแต่ละที่อยู่ ในขณะที่คุณสามารถมีโดเมนไม่ จำกัด ที่เชื่อมโยงกับที่อยู่ IP เดียวที่ จำกัด การติดตั้งใบรับรอง SSL

ผู้ให้บริการที่ใช้ร่วมกันจำนวนมากจะอนุญาตให้คุณชำระเงินสำหรับที่อยู่ IP เพิ่มเติมในแผนการโฮสต์ที่ใช้ร่วมกันบางแห่งเพื่อให้สามารถใช้ใบรับรอง SSL ได้ คุณอาจพบว่าผู้ให้บริการของคุณทำตามข้อเสนอนี้ แต่อาจมีให้บริการเฉพาะในแผนอื่นเนื่องจากจะถือว่าเป็นบริการขั้นสูงกว่าดังนั้นจึงอาจไม่พร้อมใช้งานกับแผนโฮสต์ที่ง่ายขึ้น


5

แก้ไข: คำถามนี้มาจาก 2009 เมื่อคำตอบ (ด้านล่าง) ถูกต้อง หากผู้คนพบข้อมูลนี้มันไม่เกี่ยวข้องมากหรือน้อย:

คำถามเกี่ยวกับSSLและข้อ จำกัด ที่คุณระบุไว้เกี่ยวกับ SSLคือและยังถูกต้อง อย่างไรก็ตามทุกคนใช้TLSตอนนี้และชื่อเซิร์ฟเวอร์ (SNI) มีให้ใช้กันอย่างแพร่หลายในการแก้ปัญหานี้อย่างแน่นอน แน่นอนว่าคุณยังสามารถใช้ใบรับรองตัวแทนต่อไปได้ แต่ใบรับรองแต่ละรายการสำหรับโฮสต์ TLS แต่ละรายการก็เป็นไปได้เช่นกัน

สิ่งนี้จะไม่ช่วยในสถานการณ์ของคำถามต้นฉบับ 2009 แต่จะอัปเดตคำตอบให้มีความเกี่ยวข้องมากขึ้นในขณะที่แก้ไข 2015


คำตอบเดิมจาก 2009:

ข้อมูลเกี่ยวกับ 1 https endpoint ต่อ IP ถูกต้อง โพรโทคอลเป็นเช่นนั้นการเข้ารหัสเริ่มต้นก่อนที่ลูกค้าและเซิร์ฟเวอร์เจรจา URL ที่จะต้องใช้สำหรับ VirtualHosts เพื่อเปิดใช้งาน SSL คีย์ / ใบรับรองจะขึ้นอยู่กับ url - aka ชื่อโฮสต์ - สำหรับการตั้งค่าใบรับรองหลายรายการใน IP เดียว แต่จะถูกใช้ก่อนที่เซิร์ฟเวอร์จะทราบว่า URL ใดที่จะได้รับการติดต่อ

ฉันเข้าใจว่ากำลังใช้งานโพรโทคอลอยู่ แต่ในปัจจุบันยังไม่มีวิธีแก้ไขปัญหานี้ - อย่างน้อยก็ไม่สามารถใช้ได้

อัปเดต: หากคุณได้รับเพียง 1 IP ด้วยตัวคุณเองคุณสามารถใช้ใบรับรองตัวแทน โดยพื้นฐานแล้วพวกเขารับรองตัวตนไม่ใช่สำหรับ www.example.com แต่สำหรับ * .example.com เพื่อให้คุณสามารถมีหลายโฮสต์ที่แชร์ IP เดียวกันโดยไม่มีคำเตือนใด ๆ ที่สร้างขึ้นในเบราว์เซอร์


คุณช่วยอธิบายรายละเอียดเกี่ยวกับการอัปเดตของคุณได้ไหม: นั่นจะไม่สร้างคำเตือนใบรับรองสำหรับเว็บไซต์อื่นที่ไม่ใช่ * .example ใช่ไหม
em444

ใช่มันจะ อักขระตัวแทนมีประโยชน์จริง ๆ สำหรับโฮสต์ภายในโดเมนเดียวกัน แต่ฉันเดาว่าคุณกำลังโฮสต์โดเมนที่ต่างกัน
David Pashley

ใช่และฉันไม่สามารถหางานทำสั้น ๆ ของการโฮสต์แผนหลายหรือการวางแผนเฉพาะ ...
45411 em

ขอบคุณ David ที่ตอบคำถามแรก - ฉันไปไม่นานหลังจากตอบคำถาม เพียงแค่โฮสต์เว็บไซต์ https หลายแห่งคุณไม่จำเป็นต้องมีเซิร์ฟเวอร์มากกว่าหนึ่งเครื่อง มันโอเคที่จะมีเซิร์ฟเวอร์หนึ่งเครื่องที่มีที่อยู่ IP หลายแห่งและผูกที่อยู่แต่ละรายการเข้ากับโฮสต์เสมือน ssl ของตัวเอง ขีด จำกัด คือที่อยู่ IP (และอาจเป็นไปได้ที่ข้อ จำกัด ของฮาร์ดแวร์ที่เซิร์ฟเวอร์กำหนด) คุณเพียงแค่ต้องหาผู้ให้บริการที่มีหลาย IP ต่อเซิร์ฟเวอร์ กล่าวขวัญ multidomain https โฮสติ้งโดยปกติจะเป็นเหตุผลที่พวกเขายอมรับว่าพวกเขาอยู่ในที่ธุรกิจที่ทุกคน
Olaf

1

มีสองวิธีในการมีหลายโดเมนที่ปลอดภัยซึ่งใช้ IP เดียวกัน ใช้พอร์ตบริการที่แตกต่างกันสำหรับแต่ละใบรับรอง (ตัวเลือกนี้แย่มาก) หรือค้นหา CA ที่อนุญาตให้ SubjectAltName อยู่ภายในใบรับรอง

ด้วย SubjectAltName คุณสามารถกำหนดรายการ DNS ได้มากที่สุดเท่าที่คุณต้องการ ความหมายหนึ่งใบรับรองจะรับรองความถูกต้องหลายโดเมน สิ่งนี้อยู่นอกเหนือสัญลักษณ์เสริมเนื่องจากโดเมนไม่จำเป็นต้องมีอะไรเหมือนกัน ตัวอย่างของสิ่งนี้คุณสามารถตรวจสอบCAcertที่อนุญาตสิ่งนี้


1

ไม่เป็นเช่นนั้นอีกต่อไปหากใช้ Apache 2.2.12 ในการนำ SNI ไปใช้จะต้องใช้ที่อยู่เดียวต่อใบรับรองอีกต่อไป หวังว่าเราจะเห็นสิ่งนี้เพิ่มเติมพร้อมใช้งานสำหรับโฮสติ้งที่ใช้ร่วมกันในตอนนี้

https://www.digicert.com/ssl-support/apache-multiple-ssl-certificates-using-sni.htm


0

หากคุณสามารถหาโฮสต์ที่ใช้ร่วมกันซึ่งจะให้หลาย IP คุณจะได้รับหลาย certs แต่คุณทำไม่ได้จริงๆ (ตามที่ฉันเข้าใจ) มีหลาย certs ในที่อยู่ IP เดียวกันเว้นแต่ว่าจะใช้ร่วมกัน

หากคุณต้องการบางสิ่งที่คุ้มค่ามากขึ้น (และคุณไม่กลัวที่จะทำงานของคุณเอง) คุณสามารถดู rackspace cloud (ชื่อเดิม Mosso คล้ายกับ EC2 ราคาถูกกว่าเล็กน้อย ... คุณสามารถ ในทางทฤษฎีเรียกใช้เซิร์ฟเวอร์ dev ในราคาประมาณ $ 15 ต่อเดือน): http://www.rackspacecloud.com

[อัปเดต] ยังไม่มีตัวแทนเพียงพอที่จะแสดงความคิดเห็น แต่ตามที่ระบุไว้ด้านล่างคุณสามารถรับใบรับรองไวด์การ์ดในทางเทคนิคซึ่งใช้ได้สำหรับโดเมนย่อยทั้งหมดของโดเมน (* .example.com ซึ่งรวมถึง www.example.com) อย่างไรก็ตามวิธีนี้ใช้ไม่ได้กับหลายโดเมนคุณจะต้องมีที่อยู่ IP หลายแห่งเนื่องจากเหตุผลที่ Olaf อธิบาย


ใช่ฉันมองเข้าไปในใบรับรองสัญลักษณ์แทนและปรากฎว่าจะมีราคาแพงมากขึ้นแล้วเพียงแค่ลงทะเบียนสำหรับแผนพื้นที่พิเศษ ....
em444

0

นี่ไม่ใช่คำตอบที่มีประโยชน์ทั้งหมดในตอนนี้ แต่ในอนาคตคุณควรใช้ชื่อเซิร์ฟเวอร์ซึ่งใช้ส่วนขยายในโปรโตคอล TLS เพื่อส่งชื่อเซิร์ฟเวอร์เป็นส่วนหนึ่งของการจับมือ TLS มันระบุไว้ในRFC3546 น่าเสียดายที่มันไม่ได้รับการสนับสนุนเป็นอย่างดี OpenSSL ไม่เปิดใช้งานตามค่าเริ่มต้นจนถึง 0.9.8j ซึ่งเผยแพร่เมื่อ 5 เดือนที่ผ่านมา IE บน Windows XP ไม่รองรับ แต่ทำบน Vista และ IIS ก็ไม่รองรับเลย จนกว่าผู้ใช้ทั้งหมดของคุณบน XP จะหายไปและผู้ให้บริการโฮสต์ของคุณอัปเกรดเซิร์ฟเวอร์ของพวกเขาไม่มีอะไรที่คุณสามารถทำได้


เป็นเรื่องที่ดีที่จะรู้ .. น่าเสียดายที่อาจไม่ใช่ตัวเลือกสำหรับบางครั้ง ... คุณรู้หรือไม่ว่าโฮสติ้ง VPS จะช่วยให้ฉันสามารถบรรลุเป้าหมายของฉันได้หรือไม่ (ถ้าฉันรู้เรื่องนี้) .. ฉันจะต้องอนุญาตนี้หรือไม่ ... ขอบคุณ
em444

คุณต้องการผู้ให้บริการโฮสต์ที่จะให้ที่อยู่ IP ได้มากเท่าที่คุณต้องการ คุณอาจพบผู้ให้บริการ VPS ที่จะทำเช่นนี้ แต่ฉันสงสัยว่าคุณมีแนวโน้มที่จะหาเซิร์ฟเวอร์เฉพาะที่มีตัวเลือกนั้นซึ่งจะแพงกว่าสองถึงสามเท่า
David Pashley

0

เป็นจริงที่คุณไม่สามารถมี ssl certs หลายรายการสำหรับ IP เดียว

อย่างไรก็ตามเป็นไปได้ในทางเทคนิคที่จะได้รับใบรับรองที่ถูกต้องสำหรับ domain1.example.org domain2.example.com ฯลฯ ...

นี่คือตัวอย่าง


0

โฮสต์ของคุณไม่อนุญาตให้คุณมี IP เฉพาะหรือไม่ คุณควรจะสามารถหาโฮสต์ที่ช่วยให้คุณสามารถซื้อแผนกับโฮสติ้งที่ใช้ร่วมกัน แต่ IP เฉพาะ เรากำลังทำสิ่งนี้กับ Server Intellect www.serverintellect.comเช่นตอนนี้ โดยพื้นฐานแล้วพวกเขาเพียงแค่คิดค่าบริการแยกต่างหากสำหรับ IP เฉพาะแต่ละรายการที่เราต้องการ


0

ฉันได้ปรับใช้ใบรับรอง SSL หลายรายการสำเร็จในโฮสต์เดียวโดยเฉพาะ แต่ใช้นามแฝง IP วิธีนี้สามารถหรือควรใช้กับแผนโฮสต์ที่ใช้ร่วมกันฉันไม่สามารถตอบได้ ฉันพบบทความนี้ใน IBM Developerworksเพื่อเป็นข้อมูลมาก

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.