Несколько частных SSL-сертификатов на одном общем хостинг-плане? [закрыто]

Недавно я связался со своим провайдером виртуального хостинга по поводу настройки частного SSL для нескольких моих сайтов. У меня есть несколько сайтов, размещенных по одному и тому же плану (план допускает неограниченное количество доменов). Однако мне сказали, что, поскольку это общий хостинг, и в конечном итоге каждый сайт работает с одного и того же IP-адреса, я мог установить только один сертификат и защитить только один из моих сайтов (поскольку каждый сертификат требует выделенного IP-адреса).

Другим вариантом, который они дали мне, было использование общего сертификата; это недопустимо, поскольку браузер генерирует предупреждение сертификата. Мой вопрос: это типично для провайдеров виртуального хостинга или я могу найти одного, который позволяет мне несколько частных сертификатов? В настоящее время я занимаюсь разработкой нескольких сайтов и хотел бы сократить расходы до минимума, поэтому я еще не перехожу на VPS или выделенный хостинг. Благодарю.

Информация, предоставленная вам вашим провайдером виртуального хостинга, была действительно точной.

Трафик на основе SSL должен быть привязан к одному IP-адресу, чтобы можно было установить первоначальное рукопожатие SSL и зашифрованное соединение. Все это делается до того, как веб-сервер будет представлен с запрошенным URI. Из-за этого вы можете иметь только один сертификат, связанный с каждым IP-адресом. Хотя вы можете иметь неограниченное количество доменов, привязанных к одному IP-адресу, что исключает установку сертификата SSL.

Многие провайдеры общего доступа позволят вам оплачивать дополнительный IP-адрес в определенных планах общего хостинга, чтобы разрешить использование SSL-сертификатов. Вы можете обнаружить, что ваш провайдер действительно предлагает это, но он может быть доступен только по другому тарифу, поскольку это будет считаться более продвинутой услугой, поэтому может быть недоступно при более простом плане хостинга.

Изменить: этот вопрос с 2009 года, когда ответ (ниже) был правильным. Если люди сталкиваются с этой информацией сейчас, это более или менее не имеет значения:

Вопрос о SSL , и ограничение, которое вы заявили о SSL, было и остается правильным. Тем не менее, сейчас все используют TLS, и указание имени сервера (SNI) широко доступно, что решает именно эту проблему. Конечно, вы все еще можете использовать подстановочные сертификаты, но отдельные сертификаты для каждого TLS-хоста также возможны .

Это не поможет в ситуации исходного вопроса 2009 года, но обновит ответ, чтобы он был более актуальным во время редактирования, 2015

Оригинальный ответ с 2009 года:

Информация о 1 оконечной точке https на IP верна. Протокол таков, что шифрование начинается до того, как клиент и сервер согласовывают URL-адрес, что потребуется для VirtualHosts для включения SSL. Ключ / сертификат будет зависеть от URL-адреса, то есть имени хоста, для настройки нескольких сертификатов на одном IP-адресе, но он используется до того, как сервер узнает, с каким URL-адресом будет установлено соединение.

Я понимаю, что протокол работает над этим, но в настоящее время нет решения этой проблемы - по крайней мере, не всегда доступно.

Обновление: если вы получаете только 1 IP для себя, вы можете использовать групповые сертификаты. По сути, они удостоверяют личность не для www.example.com, а для * .example.com, так что вы можете иметь несколько хостов, использующих один и тот же IP-адрес без предупреждения, генерируемого в браузере.

Есть только два способа защитить несколько доменов, использующих один и тот же IP. Либо используйте разные сервисные порты для каждого сертификата (эта опция не подходит), либо найдите ЦС, который позволяет SubjectAltName в сертификатах.

С SubjectAltName вы можете определить столько DNS-записей для каждого сертификата, сколько захотите. Это означает, что один сертификат будет аутентифицировать несколько доменов. Это за пределами групповых символов, поскольку домены не должны иметь ничего общего. Как пример этого вы можете проверить CAcert, который позволяет это.

Это уже не тот случай, если при использовании Apache 2.2.12, реализующей SNI, для каждого сертификата больше не требуется один адрес. Надеемся, что сейчас мы увидим больше этого для общего хостинга.

https://www.digicert.com/ssl-support/apache-multiple-ssl-certificates-using-sni.htm

Если вы можете найти общий хост, который даст вам несколько IP-адресов, вы можете получить несколько сертификатов, но вы не можете (как я понимаю) иметь несколько сертификатов на одном IP-адресе, если он не является общим.

Если вы хотите что-то более экономичное (и вы не боитесь немного поработать над своей конфигурацией), вы можете взглянуть на облако стойки (ранее Mosso, похожее на EC2, чуть дешевле ... вы могли бы теоретически запускать сервер разработки примерно за 15 долларов в месяц): http://www.rackspacecloud.com

[ОБНОВЛЕНИЕ] У вас еще недостаточно представителей, чтобы комментировать, но, как указано ниже, технически вы можете получить сертификат с подстановочными знаками, действительный для всех поддоменов домена (* .example.com, включая www.example.com). Однако это не работает с несколькими доменами, вам все равно понадобится несколько IP-адресов по причинам, объясненным Олафом.

Это не такой уж полезный ответ прямо сейчас, но в будущем вы сможете использовать Индикацию имени сервера , которая использует расширение в протоколе TLS для отправки имени сервера как часть подтверждения связи TLS. Это указано в RFC3546 . К сожалению, это не очень хорошо поддерживается. OpenSSL не включает его по умолчанию до 0.9.8j, который был выпущен 5 месяцев назад. IE в Windows XP не поддерживает его, но поддерживает в Vista. И IIS просто не поддерживает это вообще. Пока все ваши пользователи в XP не исчезнут и ваш хостинг-провайдер не обновит свои серверы, вы ничего не можете с этим поделать.

Это правда, что вы не можете иметь несколько сертификатов SSL для одного IP.

Однако технически возможно получить сертификат, действительный для domain1.example.org domain2.example.com и т. Д.

Вот пример.

Разве ваш хост не позволяет вам иметь выделенные IP-адреса. Вы должны быть в состоянии найти хост, который позволяет вам купить план с общим хостингом, но с выделенными IP-адресами. Например, сейчас мы делаем это с помощью сервера Интеллект www.serverintellect.com . По сути, они просто взимают с нас небольшую плату за каждый выделенный IP, который нам нужен.

Я успешно развернул несколько SSL-сертификатов на одном, но выделенном хосте с использованием псевдонимов IP. Как это можно или нужно использовать в плане общего хостинга, я не могу ответить. Я нашел эту статью о IBM Developerworks очень информативной.