web-dev-qa-db-fra.com

connexion SSL au sous-domaine

J'ai un SSL attribué à mon domaine principal et je me demande si je peux utiliser le SSL dans mon sous-domaine !! Je l'ai franchement essayé, mais il montre une page d'avertissement disant que cette page n'est pas sûre ou ainsi de suite. Existe-t-il une solution à cela afin que je puisse utiliser le SSL sur mon sous-domaine pour permettre aux clients d'envoyer leurs informations sur une connexion sécurisée.

Le message d'erreur " This webpage is not available"

24
Digital site

Les certificats X.509 (souvent appelés "certificats SSL") ne sont généralement liés qu'à un seul domaine, généralement "mydomain.com", "www.mydomain.com" ou "secure.mydomain.com". Ils ne peuvent pas être utilisés sur un autre nom de domaine, même s'il s'agit d'un sous-domaine (donc un certificat pour "mydomain.com" ne peut pas être utilisé pour "www.mydomain.com" et vice-versa).

Il existe actuellement 2 autres types de certificats pouvant être utilisés pour sécuriser simultanément plusieurs noms de domaine:

  • Un type de certificat relativement nouveau appelé "certificat SAN" - abréviation de "Subject Alternative Name" - également appelé parfois "certificats de communications unifiées" après une fonctionnalité de Microsoft Exchange Server qui nécessite ce type de certificat. Ces certificats déclarent une liste finie de noms d'hôtes contre lesquels ils peuvent être utilisés.

  • Ensuite, il y a les certificats génériques. Historiquement, ceux-ci étaient très chers, mais récemment, nous avons constaté une énorme baisse des prix. Avec l'un de ces certificats, vous pouvez sécuriser "anysubdomain.mydomain.com", y compris le niveau supérieur "mydomain.com".

Sans l'un de ces certificats SSL, vous devrez obtenir un certificat SSL pour chaque nom de domaine que vous souhaitez sécuriser.

Notez que le fait d'avoir un certificat différent pour chaque nom d'hôte/nom de domaine peut causer des problèmes car le système TLS établit la sécurité pour le canal avant le HTTP Host: l'en-tête est envoyé - cela signifie que chaque site Web sécurisé aura besoin de sa propre adresse IP ou numéro de port.

... sauf si vous utilisez des certificats SNI (Server Name Identification). La bonne nouvelle est que tous les navigateurs et serveurs modernes le prennent en charge SNI, donc plusieurs sites Web sécurisés peuvent partager des adresses IP et des liaisons de port avec leurs propres certificats (donc sans avoir besoin d'un seul certificat SAN qui répertorie tous les domaines) dessus).

La mauvaise nouvelle est qu'Internet Explorer sur Windows XP ne peut pas se connecter aux sites Web SNI (mais Chrome et Firefox sont corrects), et du côté serveur, vous devez au moins Windows Server 2012 ou version ultérieure. Adoptez donc SNI en fonction de la popularité d'Internet Explorer + XP.

36
Dai