web-dev-qa-db-fra.com

Une adresse IP unique est-elle indispensable pour SSL?

La société d'hébergement partagé m'a dit que si j'achetais une adresse IP, elle serait également applicable aux domaines de l'addon. Qu'est-ce que ça veut dire? Alors le certificat SSL ne fonctionnera pas puisqu'il y aura plus de 2 domaines dans une IP (si j'ajoute un domaine addon)? Si le certificat SSL fonctionne avec une adresse IP sur laquelle deux domaines différents sont hébergés, alors pourquoi ne fonctionne-t-il pas sur un hôte partagé?

23
ilhan

NOTE: Bien que cette réponse soit exacte au moment où elle a été écrite et acceptée, elle n’est plus correcte. Il existe d'autres réponses ici à cette adresse SNI qui autorise plusieurs certificats SSL par adresse IP.


Oui, vous avez besoin d’une adresse IP dédiée pour votre certificat SSL. L'article suivant explique exactement pourquoi:

certificats SSL sur les sites avec en-têtes d'hôte

Le paragraphe clé est:

C'est un problème de type "poule et œuf": le nom d'hôte est crypté dans le blob SSL envoyé par le client. Parce que le nom d'hôte fait partie de la liaison, IIS a besoin du nom d'hôte pour rechercher le bon certificat. Sans le nom d'hôte, IIS ne peut pas rechercher le bon site, car la liaison est incomplète. Sans le certificat, IIS ne peut pas déchiffrer le blob SSL contenant le nom d'hôte. Fin du jeu - nous tournons en rond.

Il existe un moyen d'utiliser des certificats SSL avec des en-têtes d'hôte sur une adresse IP partagée, mais vous devez toujours obtenir cette première adresse IP:

Mais il existe un moyen, si vous avez besoin de deux sites différents sur la même adresse IP: Port. Vous pouvez y parvenir en obtenant un certificat contenant les deux noms communs, à savoir sitev1.mysite.com et sitev2.mysitem.com. Les autorités de certification autorisent généralement plusieurs noms dits "noms communs" dans un certificat. En liant le certificat à l'un des deux sites, vous ne recevrez plus d'erreurs de certificat. Le client est satisfait si l'un des noms du certificat correspond.

Lorsque votre hébergeur dit "cela s'appliquera également aux domaines de l'addon." , cela signifie que vous pouvez utiliser:

13
Kev

RFC 4366 (Indication du nom du serveur) permet l'hébergement virtuel pour SSL. Il est très ancien et bien pris en charge de nos jours.

Voir http://wiki.Apache.org/httpd/NameBasedSSLVHostsWithSNI pour une explication détaillée.

20
Bruno Rohée

Cela dépend du logiciel du serveur. IIS 7 prend en charge l'hébergement de plusieurs activations SSL sites utilisant la même adresse IP.

4
Frazell Thomas

L'hébergement de plusieurs sites Web activés pour SSL sur un serveur unique nécessite généralement une adresse IP unique par site, mais le certificat SSL SAN peut résoudre ce problème. MS IIS 6 et Apache peuvent utiliser les sites HTTPS d'hôte virtuel à l'aide du certificat UC, également appelé certificats SAN.

L'utilisation d'un certificat SAN vous évite les tracas et le temps nécessaires à la configuration de plusieurs adresses IP sur votre serveur Exchange 2007, en liant chaque adresse IP à un certificat différent , et en exécutant beaucoup commandes de niveau Power Shell juste pour rassembler le tout.

Maintenir sans effort et sans problème que de mettre plusieurs adresses IP sur votre serveur et d’attribuer un certificat différent à chacune d’elles.

2
jd4487

Il existe plusieurs types de certificats SSL de serveur, y compris ceux qui fonctionnent pour un seul serveur, ceux qui peuvent être utilisés pour un domaine entier de serveurs (appelés "certificats de caractère générique") et ceux qui fonctionnent sur plusieurs domaines.

Faites très attention au certificat que vous achetez car cela limitera la façon dont vous pouvez l’agrandir.

Pour votre information: les autorités de certification (les sociétés qui émettent des certifications) n'aiment pas émettre des certifications de domaine ou multi-domaines, car elles les considèrent comme une perte de revenus. (Pourquoi émettre 1 certificat pour un domaine entier à $ x alors que vous pouvez émettre 5 certificats pour 5 $?) Mais si vous appuyez dessus, vous pourrez généralement les amener à vous émettre un certificat couvrant l’ensemble du domaine.

2
Rob Raisch

Cela signifie que tous les domaines hébergés par vous assigneront votre IP. Mais vous pouvez limiter Host à définir IP uniquement pour un domaine spécifique. Le certificat SSL sécurisé est appliqué sur le domaine, mais le domaine doit être sur une adresse IP dédiée. Certains certificats SSL peuvent également sécuriser plusieurs domaines, tels que geotrust multidomain ev. Sur un hébergement partagé, il existe plusieurs domaines sur le même hébergement, votre adresse IP hébergeant également le domaine d'un autre client. Donc, il n’est pas sûr que cela ne fonctionne pas.

1
Kedin