L'adresse IP unique est-elle indispensable pour SSL?


23

L'hébergeur partagé m'a dit que si j'achetais une adresse IP, elle s'appliquerait également aux domaines de l'addon. Qu'est-ce que ça veut dire? Ensuite, le certificat SSL ne fonctionnera pas car il y aura plus de 2 domaines dans une IP (si j'ajoute un domaine complémentaire)? Si le certificat SSL fonctionne avec une adresse IP sur laquelle sont hébergés deux domaines différents, pourquoi ne fonctionne-t-il pas sur un hôte partagé?


Non, ce n'est pas obligatoire. Il existe de nombreux fournisseurs d'hébergement qui autorisent les certificats SSL sur les adresses IP partagées.
William Edwards

1
Presque la même chose que ma question, un certificat SSL nécessite-t
Traven

Réponses:


13

REMARQUE: Bien que cette réponse était exacte au moment où elle a été écrite et acceptée, elle n'est plus correcte. Il y a d'autres réponses ici qui traitent SNI qui autorise plusieurs certificats SSL par adresse IP.


Oui, vous avez besoin d'une adresse IP dédiée pour votre certificat SSL. L'article suivant explique exactement pourquoi:

Certificats SSL sur les sites avec en-têtes d'hôte

Le paragraphe clé est le suivant:

C'est un problème de poule et d'oeuf: le nom d'hôte est crypté dans le blob SSL que le client envoie. Parce que le nom d'hôte fait partie de la liaison, IIS a besoin du nom d'hôte pour rechercher le bon certificat. Sans le nom d'hôte, IIS ne peut pas rechercher le bon site car la liaison est incomplète. Sans le certificat, IIS ne peut pas déchiffrer le blob SSL qui contient le nom d'hôte. Game over - nous tournons en rond.

Il existe un moyen d'utiliser des certificats SSL avec des en-têtes d'hôte sur une adresse IP partagée, mais vous devez toujours obtenir cette première adresse IP:

Mais il existe un moyen si vous avez besoin de deux sites différents sur la même IP: le port. Pour ce faire, vous pouvez obtenir un certificat contenant les deux noms courants, à savoir sitev1.mysite.com et sitev2.mysitem.com. Les autorités de certification autorisent généralement plusieurs soi-disant «noms communs» dans un certificat. En liant le certificat à l'un des deux sites, vous n'obtiendrez plus d'erreurs de certificat. Le client est satisfait si l'un des noms du certificat correspond.

Lorsque votre hébergeur dit "alors cela sera également applicable aux domaines de l'addon". , ce que cela signifie, c'est que vous pouvez utiliser:

  • un SSL générique, par exemple * .example.com, puis plusieurs sites qui sont des hôtes dans example.com peuvent partager l'adresse IP, par exemple www.example.com, webmail.example.com et ainsi de suite.

  • un SSL de noms alternatifs de sujets qui permet de sécuriser plusieurs domaines à l'aide du même SSL, par exemple: http://www.globalsign.co.uk/ssl/buy-ssl-certificates/unified-communications-ssl/


4
@ilhan cette réponse n'est plus exacte. Il y a d'autres réponses ici qui traitent SNI qui autorise plusieurs certificats SSL par IP.
Mxx

Veuillez mettre à jour cette réponse pour refléter la situation actuelle.
Lèse majesté

20

RFC 4366 (Server Name Indication) autorise l'hébergement virtuel pour SSL et est assez ancien et bien pris en charge de nos jours

Voir http://wiki.apache.org/httpd/NameBasedSSLVHostsWithSNI pour une explication assez détaillée.


Avez-vous des données sur le support SNI actuel?
Deebster

3
Cet article wiki contient plus d'informations sur la compatibilité pour la prise en charge de l'indication de nom de serveur: en.wikipedia.org/wiki/Server_Name_Indication
James McCormack


2

Il existe plusieurs types de certificats SSL de serveur, y compris ceux qui fonctionnent pour un seul serveur, ceux qui peuvent être utilisés pour un domaine entier de serveurs (appelés certificats génériques) et ceux qui fonctionnent sur plusieurs domaines.

Faites très attention au certificat que vous achetez, car cela limitera la façon dont vous pouvez évoluer.

Pour info: les autorités de certification (les sociétés qui émettent des certificats) n'aiment pas émettre des certificats à l'échelle du domaine ou multi-domaines car elles les considèrent comme une perte de revenus. (Pourquoi émettre 1 certificat pour un domaine entier à $ x alors que vous pouvez émettre 5 certificats pour 5 $?) Mais si vous appuyez dessus, vous pouvez généralement les amener à vous délivrer un certificat à l'échelle du domaine.


2

L'hébergement de plusieurs sites Web SSL sur un seul serveur nécessite généralement une seule adresse IP par site, mais le certificat SSL SAN peut résoudre ce problème. MS IIS 6 et Apache sont tous deux capables d'héberger des sites HTTPS virtuels à l'aide d'un certificat UC, également appelé certificats SAN.

L'utilisation d'un certificat SAN vous permet d'économiser les tracas et le temps nécessaires à la configuration de plusieurs adresses IP sur votre serveur Exchange 2007, à la liaison de chaque adresse IP à un certificat différent et à l'exécution de nombreuses commandes Power Shell de bas niveau juste pour tout assembler.

Une maintenance sans effort et sans problème que de mettre plusieurs adresses IP sur votre serveur et d'attribuer un certificat différent à chacune.


1

Cela signifie que tout domaine hébergé par vous attribuera votre IP. Mais vous pouvez restreindre l'hôte à définir l'IP uniquement pour un domaine spécifique. Le certificat SSL sécurisé est appliqué sur le domaine mais le domaine doit être sur une IP dédiée. Certains certificats SSL peuvent également sécuriser plusieurs domaines comme geotrust multidomain ev. Sur l'hébergement partagé, il existe plusieurs domaines sur le même hébergement, votre adresse IP héberge également le domaine d'un autre client. Ce n'est donc pas sûr, c'est pourquoi cela ne fonctionnera pas.


Il n'est pas nécessaire de citer la question dans la réponse.
ChrisF
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.