O endereço IP exclusivo é obrigatório para SSL?

23

A empresa de hospedagem compartilhada me disse que, se eu comprar um endereço IP, ele também será aplicável aos domínios adicionais. O que isso significa? Então o certificado SSL não funcionará, pois haverá mais de 2 domínios em um IP (se eu adicionar um domínio adicional)? Se o certificado SSL funciona com um IP em que estão hospedados dois domínios diferentes, por que não funciona em um host compartilhado?

https security-certificate ip-address

— ilhan
fonte

Não, não é necessário. Existem muitos provedores de hospedagem que permitem certificados SSL em IPs compartilhados.

— William Edwards

1

Quase o mesmo que minha pergunta, um certificado SSL realmente requer um IP dedicado?

— Traven

13

NOTA: Embora essa resposta tenha sido precisa no momento em que foi escrita e aceita, ela não está mais correta. Há outras respostas aqui que abordam o SNI, que permite vários certificados SSL por endereço IP.

Sim, você precisa de um endereço IP dedicado para o seu certificado SSL. O artigo a seguir explica exatamente o porquê:

Certificados SSL em sites com cabeçalhos de host

O parágrafo principal é:

É um problema de galinha e ovo: o nome do host é criptografado no blob SSL que o cliente envia. Como o nome do host faz parte da ligação, o IIS precisa do nome do host para procurar o certificado correto. Sem o nome do host, o IIS não pode procurar o site certo porque a ligação está incompleta. Sem o certificado, o IIS não pode descriptografar o blob SSL que contém o nome do host. Fim do jogo - estamos girando em círculos.

Existe uma maneira de usar certificados SSL com cabeçalhos de host em um endereço IP compartilhado, mas você ainda precisa obter o primeiro endereço IP:

Mas existe uma maneira, se você precisar de dois sites diferentes no mesmo IP: Porta. Você pode fazer isso obtendo um certificado que contém os dois nomes comuns, por exemplo, sitev1.mysite.com e sitev2.mysitem.com. As autoridades de certificação geralmente permitem mais de um chamado "nomes comuns" em um certificado. Ao vincular o certificado a um dos dois sites, você não receberá mais erros de certificado. O cliente ficará satisfeito se um dos nomes no certificado corresponder.

Quando o hoster diz "então será aplicável também aos domínios adicionais". , o que eles querem dizer é que você pode usar:

um SSL curinga, por exemplo, * .example.com, mais de um site que é um host em example.com pode compartilhar o endereço IP, por exemplo, www.example.com, webmail.example.com e assim por diante.
um SSL de Nomes alternativos de assunto que permite a proteção de mais de um domínio usando o mesmo SSL, por exemplo: http://www.globalsign.co.uk/ssl/buy-ssl-certificates/unified-communications-ssl/

— Kev
fonte

4

@ilhan, esta resposta não é mais precisa. Há outras respostas aqui que abordam o SNI, que permite vários certificados SSL por IP.

— Mxx

Atualize esta resposta para refletir a situação atual.

— Lèse majesté

20

O RFC 4366 (Server Name Indication) permite hospedagem virtual para SSL e é bastante antigo e bem suportado atualmente

Veja http://wiki.apache.org/httpd/NameBasedSSLVHostsWithSNI para uma explicação bastante detalhada.

— James McCormack
fonte

Você tem algum dado sobre o suporte SNI atual?

— Deebster

3

Este artigo wiki tem mais informações de compatibilidade para suporte Indicação Name Server: en.wikipedia.org/wiki/Server_Name_Indication

— James McCormack

4

Depende do software do servidor. O IIS 7 oferece suporte à hospedagem de vários sites habilitados para SSL no mesmo endereço IP.

2

Existem vários tipos de certificados SSL de servidor, incluindo aqueles que funcionam para um único servidor, aqueles que podem ser usados para um domínio inteiro de servidores (os chamados certificados 'curinga') e aqueles que funcionam em vários domínios.

Tenha muito cuidado com o certificado que você compra, pois isso limitará a forma como você pode escalar.

FYI: As autoridades de certificação (as empresas que emitem certificados) não gostam de emitir certificados em todo o domínio ou em vários domínios, pois os veem como uma perda de receita. (Por que emitir 1 certificado para um domínio inteiro por US $ x quando é possível emitir 5 certificados por US $ 5x?), Mas se você pressioná-los, geralmente é possível solicitá-los a emitir um certificado para todo o domínio.

2

Hospedar vários sites habilitados para SSL em um único servidor geralmente precisa de um único endereço IP por site, mas o Certificado SSL da SAN pode resolver essa dificuldade. O MS IIS 6 e o Apache são capazes de acessar sites HTTPS de host virtual usando o certificado UC, também conhecido como certificados SAN.

O uso de um certificado SAN poupa o tempo e o tempo envolvidos na configuração de vários endereços IP no servidor Exchange 2007, vinculando cada endereço IP a um certificado diferente e executando muitos comandos de nível baixo do Power Shell apenas para reunir tudo.

Manutenção fácil e sem problemas do que colocar vários endereços IP no servidor e atribuir um certificado diferente a cada um.

— jd4487
fonte

1

Isso significa que todo domínio hospedado por você atribuirá seu IP. Mas você pode restringir o host para definir o IP apenas para um domínio específico. Certificado SSL protegido aplicado no domínio, mas o domínio deve estar no IP dedicado. Alguns certificados SSL também podem proteger vários domínios, como geotrust multidomain ev. Na hospedagem compartilhada, existem vários domínios na mesma hospedagem, portanto, o seu IP também hospeda o domínio de outro cliente. Portanto, não é seguro, é por isso que não funcionará.

— Kedin
fonte

Não há necessidade de citar a pergunta na resposta.

— ChrisF