Beberapa sertifikat SSL pribadi pada satu paket hosting bersama? [Tutup]

12

Baru-baru ini saya menghubungi penyedia hosting bersama saya tentang pengaturan SSL pribadi untuk beberapa situs saya. Saya memiliki beberapa situs yang dihosting di bawah paket yang sama (paket tersebut memungkinkan untuk domain tidak terbatas). Namun, saya diberi tahu bahwa karena ini adalah shared hosting dan pada akhirnya setiap situs berjalan dari alamat IP yang sama, saya hanya dapat menginstal satu sertifikat dan hanya mengamankan 1 situs saya (karena setiap sertifikat memerlukan IP khusus).

Pilihan lain yang mereka berikan kepada saya adalah menggunakan sertifikat bersama; ini tidak dapat diterima karena browser akan menghasilkan peringatan sertifikat. Pertanyaan saya adalah: apakah ini tipikal penyedia hosting bersama atau dapatkah saya menemukan satu yang memungkinkan saya beberapa sertifikat pribadi? Saat ini saya sedang mengembangkan beberapa situs dan ingin menjaga biaya seminimal mungkin karena itulah saya belum meningkatkan ke VPS atau hosting khusus. Terima kasih.

em444
sumber

Jawaban:

6

Informasi yang diberikan kepada Anda oleh penyedia hosting bersama Anda memang akurat.

Lalu lintas berbasis SSL harus terikat pada satu alamat IP sehingga handshake SSL awal dan koneksi terenkripsi dapat dibuat. Ini semua dilakukan sebelum server web bahkan disajikan dengan URI yang diminta. Karena ini, Anda hanya dapat memiliki satu sertifikat yang terikat ke setiap alamat IP. Meskipun Anda dapat memiliki domain tidak terbatas yang terikat pada satu alamat IP yang menghalangi instalasi sertifikat SSL.

Banyak penyedia berbagi akan memungkinkan Anda membayar untuk alamat IP tambahan pada paket hosting bersama tertentu untuk memungkinkan sertifikat SSL untuk digunakan. Anda mungkin menemukan bahwa penyedia Anda sebenarnya menawarkan ini, tetapi mungkin hanya tersedia pada paket lain karena ini akan dianggap layanan yang lebih maju sehingga mungkin tidak tersedia dengan paket hosting yang lebih sederhana.

Jeremy Bouse
sumber
5

Sunting: Pertanyaan ini dari 2009, ketika jawabannya (di bawah) benar. Jika orang menemukan informasi ini sekarang, itu kurang lebih relevan:

Pertanyaannya adalah tentang SSL , dan batasan yang Anda nyatakan tentang SSL adalah dan masih benar. Namun, semua orang menggunakan TLS sekarang dan Indikasi Nama Server (SNI) tersedia secara luas, menyelesaikan masalah ini dengan tepat. Tentu saja Anda masih dapat terus menggunakan sertifikat wildcard, tetapi sertifikat individual untuk setiap host TLS juga dimungkinkan .

Ini tidak akan membantu dalam situasi pertanyaan awal tahun 2009, tetapi apakah memperbarui jawabannya menjadi lebih relevan pada saat edit, 2015


Jawaban asli dari 2009:

Informasi tentang 1 https titik akhir per IP sudah benar. Protokolnya sedemikian rupa sehingga enkripsi dimulai sebelum klien dan server menegosiasikan URL, yang akan diperlukan untuk VirtualHosts untuk mengaktifkan SSL. Kunci / sertifikat akan tergantung pada url - alias nama host - untuk mengatur beberapa sertifikat pada satu IP, tetapi sedang digunakan sebelum server tahu URL mana yang akan dihubungi.

Saya mengerti bahwa protokol sedang dikerjakan, tetapi saat ini tidak ada solusi untuk masalah ini - setidaknya tidak tersedia secara umum.

Pembaruan: Jika Anda hanya mendapatkan 1 IP untuk diri sendiri, Anda dapat menggunakan sertifikat wildcard. Pada dasarnya mereka menyatakan identitas bukan untuk www.example.com tetapi untuk * .example.com, sehingga Anda dapat memiliki beberapa host yang berbagi IP yang sama tanpa peringatan apa pun yang dihasilkan di browser.

Olaf
sumber
bisakah Anda menguraikan pembaruan Anda: bukankah itu masih menghasilkan peringatan cert untuk situs lain selain * .example?
em444
Ya akan. Wildcard hanya benar-benar berguna untuk host dalam domain yang sama, tapi saya rasa Anda hosting banyak domain yang berbeda.
David Pashley
Yap, dan saya tidak bisa menemukan pekerjaan di sekitar singkat mendapatkan beberapa hosting atau mendapatkan rencana khusus ...
em444
Terima kasih David untuk menjawab pertanyaan pertama - Saya telah pergi tidak lama setelah menjawab. Hanya untuk hosting beberapa situs https, Anda tidak akan memerlukan lebih dari satu server. Tidak apa-apa untuk memiliki satu server dengan beberapa alamat IP dan mengikat masing-masing alamat ke host virtual ssl sendiri. Batasnya adalah alamat ip (dan mungkin batasan perangkat keras yang dikenakan oleh server Anda). Anda hanya perlu menemukan hoster yang menyediakan banyak IP per server. Menyebutkan multidomain https hosting biasanya alasan mereka terima jika mereka berada di bahwa bisnis sama sekali.
Olaf
1

Hanya ada dua cara untuk mengamankan beberapa domain yang menggunakan IP yang sama. Baik menggunakan port layanan yang berbeda untuk setiap sertifikat (opsi ini menyebalkan) atau menemukan CA yang memungkinkan SubjectAltName dalam sertifikat.

Dengan SubjectAltName Anda dapat menentukan entri DNS sebanyak per sertifikat yang Anda inginkan. Berarti satu sertifikat akan mengautentikasi beberapa domain. Ini melampaui wildcard karena domain tidak harus memiliki kesamaan. Sebagai contoh, Anda dapat memeriksa CAcert yang memungkinkan ini.

Oliver
sumber
0

Jika Anda dapat menemukan host bersama yang akan memberi Anda beberapa IP, Anda bisa mendapatkan beberapa sertifikat, tetapi Anda tidak bisa benar-benar (seperti yang saya pahami) memiliki beberapa sertifikat pada alamat IP yang sama kecuali dibagikan.

Jika Anda menginginkan sesuatu yang lebih hemat biaya (dan Anda tidak takut melakukan sedikit pekerjaan konfigurasi sendiri), Anda dapat melihat cloud rackspace (sebelumnya Mosso, mirip dengan EC2, hanya sedikit lebih murah ... Anda bisa secara teoritis jalankan dev server untuk sekitar $ 15 sebulan): http://www.rackspacecloud.com

[UPDATE] Belum punya rep yang cukup untuk berkomentar, tetapi seperti yang dinyatakan di bawah ini, Anda secara teknis bisa mendapatkan sertifikat wildcard, yang berlaku untuk semua subdomain dari suatu domain (* .example.com, yang mencakup www.example.com). Namun, ini tidak berfungsi dengan banyak domain, Anda masih memerlukan banyak alamat IP untuk alasan yang dijelaskan oleh Olaf.

Ian Selby
sumber
Ya aku melihat ke cert wildcard dan ternyata bahwa akan lebih mahal maka hanya mendaftar untuk paket hosting ekstra ....
em444
0

Ini bukan jawaban yang bermanfaat saat ini, tetapi di masa depan, Anda harus dapat menggunakan Indikasi Nama Server , yang menggunakan ekstensi dalam protokol TLS untuk mengirim nama server sebagai bagian dari handshaking TLS. Ini ditentukan dalam RFC3546 . Sayangnya itu tidak didukung dengan sangat baik. OpenSSL tidak mengaktifkannya secara default hingga 0.9.8j yang dirilis 5 bulan lalu. IE pada Windows XP tidak mendukungnya, tetapi pada Vista. Dan IIS tidak mendukungnya sama sekali. Sampai semua pengguna Anda di XP menghilang dan penyedia hosting Anda memutakhirkan server mereka, tidak ada banyak hal yang dapat Anda lakukan untuk itu.

David Pashley
sumber
Itu bagus untuk diketahui .. mungkin sayangnya bukan pilihan untuk beberapa waktu ... apakah Anda tahu jika VPS hosting akan memungkinkan saya untuk mencapai tujuan saya (saya tahu sedikit tentang itu) .. jika tidak, apa jenis paket hosting saya harus mengizinkan ini ... terima kasih
em444
Anda membutuhkan penyedia hosting yang akan memberi Anda alamat IP sebanyak yang Anda perlukan. Anda mungkin menemukan penyedia VPS yang akan melakukan ini, tetapi saya kira Anda lebih mungkin menemukan server khusus dengan opsi itu, yang akan menjadi dua hingga tiga kali lebih mahal.
David Pashley
0

Memang benar bahwa Anda tidak dapat memiliki beberapa sertifikat ssl untuk satu IP.

Namun secara teknis dimungkinkan untuk mendapatkan sertifikat yang valid untuk domain1.example.org domain2.example.com dll ...

Berikut ini sebuah contoh.

cstamas
sumber
0

Apakah host Anda tidak mengizinkan Anda memiliki IP Khusus. Anda harus dapat menemukan host yang memungkinkan Anda membeli paket dengan hosting bersama, tetapi IP khusus. Kami melakukan ini dengan Server Intellect www.serverintellect.com misalnya sekarang. Pada dasarnya, mereka hanya membebankan biaya kecil terpisah untuk setiap IP khusus yang kami butuhkan.

Charles
sumber
0

Saya telah berhasil menyebarkan beberapa sertifikat SSL pada satu host yang berdedikasi tetapi menggunakan IP alias. Bagaimana ini bisa atau harus digunakan pada paket hosting bersama, saya tidak bisa menjawab. Saya menemukan artikel ini di Developerworks IBM sangat informatif.


sumber