Plusieurs certificats SSL privés sur un seul plan d'hébergement partagé? [fermé]


12

Récemment, j'ai contacté mon fournisseur d'hébergement partagé au sujet de la configuration de SSL privé pour quelques-uns de mes sites. J'ai plusieurs sites hébergés sous le même plan (le plan permet des domaines illimités). Cependant, on m'a dit que comme il s'agit d'un hébergement partagé et que chaque site s'exécute à partir de la même adresse IP, je ne pouvais installer qu'un seul certificat et sécuriser seulement 1 de mes sites (car chaque certificat nécessite une IP dédiée).

L'autre option qu'ils m'ont donnée était d'utiliser un certificat partagé; cela est inacceptable car le navigateur générerait un avertissement de certificat. Ma question est: est-ce typique des fournisseurs d'hébergement mutualisé ou pourrais-je en trouver un qui me permet plusieurs certificats privés? Je suis en train de développer plusieurs sites et je souhaite maintenir les coûts au minimum, c'est pourquoi je ne suis pas encore passé à un VPS ou à un hébergement dédié. Merci.

Réponses:


6

Les informations fournies par votre hébergeur partagé étaient en effet exactes.

Le trafic basé sur SSL doit être lié à une seule adresse IP afin que la prise de contact SSL initiale et la connexion cryptée puissent être établies. Tout cela est fait avant que le serveur Web ne soit même présenté avec l'URI demandé. Pour cette raison, vous ne pouvez avoir qu'un seul certificat lié à chaque adresse IP. Bien que vous puissiez avoir un nombre illimité de domaines liés à une seule adresse IP, ce qui empêche l'installation d'un certificat SSL.

De nombreux fournisseurs partagés vous permettront de payer une adresse IP supplémentaire sur certains plans d'hébergement partagé pour permettre l'utilisation de certificats SSL. Vous pouvez constater que votre fournisseur offre en fait cela, mais il peut être disponible uniquement sur un autre plan car cela serait considéré comme un service plus avancé et pourrait ne pas être disponible avec un plan d'hébergement plus simple.


5

Edit: Cette question date de 2009, lorsque la réponse (ci-dessous) était correcte. Si les gens se heurtent à cette information maintenant, c'est plus ou moins non pertinent:

La question concerne SSL , et la limitation que vous avez indiquée à propos de SSL était et est toujours correcte. Cependant, tout le monde utilise TLS maintenant et l' indication de nom de serveur (SNI) est largement disponible, résolvant exactement ce problème. Bien sûr, vous pouvez continuer à utiliser des certificats génériques, mais des certificats individuels pour chaque hôte TLS sont également possibles .

Cela n'aidera pas dans la situation de la question originale de 2009, mais mettra à jour la réponse pour qu'elle soit plus pertinente au moment de l'édition, 2015


Réponse originale de 2009:

Les informations sur 1 point de terminaison https par IP sont correctes. Le protocole est tel que le chiffrement démarre avant que le client et le serveur ne négocient l'URL, qui serait requise pour que VirtualHosts active SSL. La clé / le certificat dépendrait de l'URL - alias le nom d'hôte - pour configurer plusieurs certificats sur une IP, mais elle est utilisée avant que le serveur ne sache quelle URL est sur le point d'être contactée.

Je comprends que le protocole est en cours d'élaboration, mais actuellement il n'y a pas de solution à ce problème - du moins pas généralement disponible.

Mise à jour: si vous n'obtenez qu'une seule adresse IP, vous pouvez utiliser des certificats génériques. Fondamentalement, ils certifient l'identité non pas pour www.example.com mais pour * .example.com, afin que vous puissiez avoir plusieurs hôtes partageant la même IP sans aucun avertissement généré dans le navigateur.


pourriez-vous s'il vous plaît développer votre mise à jour: cela ne générerait-il pas encore un avertissement de certificat pour un site autre que * .example?
em444

Oui. Les caractères génériques ne sont vraiment utiles que pour les hôtes d'un même domaine, mais je suppose que vous hébergez de nombreux domaines différents.
David Pashley

Oui, et je n'arrive pas à trouver un moyen de contourner le
problème

Merci David d'avoir répondu à la première question - je suis parti peu de temps après avoir répondu. Juste pour héberger plusieurs sites https, vous n'auriez pas besoin de plus d'un serveur. Il est parfaitement correct d'avoir un serveur avec plusieurs adresses IP et de lier chacune des adresses à son propre hôte virtuel SSL. La limite est l'adresse IP (et éventuellement les limitations matérielles imposées par vos serveurs). Il vous suffit de trouver un hébergeur qui fournit plusieurs adresses IP par serveur. Mentionner l'hébergement https multidomaine est généralement la raison pour laquelle ils acceptent s'ils sont dans cette entreprise.
Olaf

1

Il n'y a que deux façons de sécuriser plusieurs domaines qui utilisent la même IP. Utilisez des ports de service différents pour chaque certificat (cette option est nulle) ou recherchez une autorité de certification qui autorise SubjectAltName dans les certificats.

Avec SubjectAltName, vous pouvez définir autant d'entrées DNS que vous le souhaitez par certificat. Cela signifie qu'un certificat authentifiera plusieurs domaines. Cela dépasse les caractères génériques, car les domaines n'ont rien à avoir en commun. À titre d'exemple, vous pouvez consulter CAcert qui le permet.



0

Si vous pouvez trouver un hôte partagé qui vous donnera plusieurs adresses IP, vous pourriez obtenir plusieurs certificats, mais vous ne pouvez pas vraiment (si je comprends bien) avoir plusieurs certificats sur la même adresse IP à moins qu'elle ne soit partagée.

Si vous voulez quelque chose de plus rentable (et que vous n'avez pas peur de faire un peu de votre propre travail de configuration), vous pouvez regarder le cloud rackspace (anciennement Mosso, similaire à EC2, juste un peu moins cher ... vous pourriez exécuter théoriquement un serveur de développement pour environ 15 $ par mois): http://www.rackspacecloud.com

[MISE À JOUR] Vous n'avez pas encore assez de représentants pour commenter, mais comme indiqué ci-dessous, vous pourriez techniquement obtenir un certificat générique, qui est valide pour tous les sous-domaines d'un domaine (* .example.com, qui comprend www.example.com). Cependant, cela ne fonctionne pas avec plusieurs domaines, vous aurez toujours besoin de plusieurs adresses IP pour les raisons expliquées par Olaf.


Oui, j'ai examiné le certificat générique et il s'avère que cela coûterait plus cher que de simplement s'inscrire à des plans d'hébergement supplémentaires ....
em444

0

Ce n'est pas une réponse très utile pour le moment, mais à l'avenir, vous devriez pouvoir utiliser l' indication de nom de serveur , qui utilise une extension dans le protocole TLS pour envoyer le nom du serveur dans le cadre de la négociation TLS. Il est spécifié dans RFC3546 . Malheureusement, ce n'est pas très bien pris en charge. OpenSSL ne l'active pas par défaut jusqu'à 0.9.8j qui a été publié il y a 5 mois. IE sur Windows XP ne le prend pas en charge, mais le fait sur Vista. Et IIS ne le prend tout simplement pas en charge. Jusqu'à ce que tous vos utilisateurs sur XP disparaissent et que votre hébergeur mette à niveau leurs serveurs, vous ne pouvez pas faire grand-chose.


C'est bon à savoir ... malheureusement, ce n'est probablement pas une option pendant un certain temps ... savez-vous si l'hébergement VPS me permettrait d'atteindre mon objectif (j'en sais peu) - sinon, quel type de plan d'hébergement aurais-je besoin de permettre cela ... merci
em444

Vous auriez besoin d'un hébergeur qui vous fournira autant d'adresses IP que vous le souhaitez. Vous pouvez trouver un fournisseur VPS qui fera cela, mais je pense que vous êtes plus susceptible de trouver un serveur dédié avec cette option, qui va être deux à trois fois plus cher.
David Pashley

0

Il est vrai que vous ne pouvez pas avoir plusieurs certificats SSL pour une seule IP.

Cependant, il est techniquement possible d'obtenir un certificat valide pour domain1.example.org domain2.example.com etc ...

Voici un exemple.


0

Votre hôte ne vous permet-il pas d'avoir des adresses IP dédiées. Vous devriez être en mesure de trouver un hôte qui vous permet d'acheter un plan avec un hébergement partagé, mais des adresses IP dédiées. Nous faisons cela avec Server Intellect www.serverintellect.com par exemple en ce moment. Fondamentalement, ils nous facturent simplement un petit supplément pour chaque adresse IP dédiée dont nous avons besoin.


0

J'ai déployé avec succès plusieurs certificats SSL sur un seul hôte, mais dédié, à l'aide d'un alias IP. Comment cela pourrait ou devrait être utilisé sur un plan d'hébergement partagé, je ne peux pas répondre. J'ai trouvé cet article sur IBM Developerworks très instructif.

En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.