¿Múltiples certificados SSL privados en un solo plan de alojamiento compartido? [cerrado]

12

Recientemente contacté a mi proveedor de alojamiento compartido para configurar SSL privado para algunos de mis sitios. Tengo varios sitios alojados bajo el mismo plan (el plan permite dominios ilimitados). Sin embargo, me dijeron que, dado que es un alojamiento compartido y, en última instancia, cada sitio se ejecuta desde la misma dirección IP, solo podía instalar un solo certificado y proteger solo 1 de mis sitios (ya que cada certificado requiere una IP dedicada).

La otra opción que me dieron fue usar un certificado compartido; Esto es inaceptable ya que el navegador generaría una advertencia de certificado. Mi pregunta es: ¿esto es típico de los proveedores de alojamiento compartido o podría encontrar uno que me permita múltiples certificados privados? Actualmente estoy desarrollando varios sitios y me gustaría mantener los costos al mínimo, por lo que todavía no estoy actualizando a VPS o hosting dedicado. Gracias.

em444
fuente

Respuestas:

6

La información que le proporcionó su proveedor de alojamiento compartido fue realmente precisa.

El tráfico basado en SSL debe estar vinculado a una única dirección IP para que se pueda establecer el protocolo de enlace SSL inicial y la conexión cifrada. Todo esto se hace antes de que el servidor web se presente con el URI solicitado. Debido a esto, solo puede tener un certificado vinculado a cada dirección IP. Si bien puede tener dominios ilimitados vinculados a una sola dirección IP que impide la instalación de un certificado SSL.

Muchos proveedores compartidos le permitirán pagar una dirección IP adicional en ciertos planes de alojamiento compartido para permitir la utilización de certificados SSL. Es posible que su proveedor realmente ofrezca esto, pero puede estar disponible solo en otro plan, ya que esto se consideraría un servicio más avanzado, por lo que podría no estar disponible con un plan de alojamiento más simple.

Jeremy Bouse
fuente
5

Editar: Esta pregunta es de 2009, cuando la respuesta (a continuación) fue correcta. Si la gente se encuentra con esta información ahora, es más o menos irrelevante:

La pregunta es sobre SSL , y la limitación que usted indicó sobre SSL era y sigue siendo correcta. Sin embargo, todo el mundo está usando TLS ahora y la Indicación de nombre del servidor (SNI) está ampliamente disponible, resolviendo exactamente este problema. Por supuesto, aún puede seguir utilizando certificados comodín, pero también son posibles certificados individuales para cada host TLS .

Esto no ayudará en la situación de la pregunta original de 2009, pero actualiza la respuesta para que sea más relevante en el momento de la edición, 2015


Respuesta original de 2009:

La información sobre 1 punto final https por IP es correcta. El protocolo es tal que el cifrado comienza antes de que el cliente y el servidor negocien la URL, que sería necesario para que VirtualHosts habilite SSL. La clave / certificado dependería de la url, también conocido como el nombre del host, para configurar múltiples certificados en una IP, pero se está utilizando antes de que el servidor sepa qué URL está por contactar.

Entiendo que se está trabajando en el protocolo, pero actualmente no hay una solución a este problema, al menos en general no disponible.

Actualización: si obtiene solo 1 IP para usted, puede utilizar certificados comodín. Básicamente, certifican la identidad no para www.example.com sino para * .example.com, para que pueda tener múltiples hosts compartiendo la misma IP sin ninguna advertencia generada en el navegador.

Olaf
fuente
¿podría explicar su actualización? ¿Eso no generaría una advertencia de certificado para cualquier sitio que no sea * .ejemplo?
em444
Sí lo haría. Los comodines solo son realmente útiles para los hosts dentro del mismo dominio, pero supongo que está alojando muchos dominios diferentes.
David Pashley
Sí, y parece que no puedo encontrar un trabajo que no sea obtener varios planes de alojamiento u obtener un plan dedicado ...
em444
Gracias David por responder la primera pregunta. Me fui poco después de contestar. Sin embargo, solo para alojar múltiples sitios https no necesitaría más de un servidor. Está perfectamente bien tener un servidor con múltiples direcciones IP y vincular cada una de las direcciones a su propio host virtual SSL. El límite es la dirección IP (y posiblemente las limitaciones de hardware impuestas por su (s) servidor (es)). Solo tiene que encontrar un proveedor de alojamiento que proporcione varias IP por servidor. Mencionar el alojamiento https multidominio suele ser la razón por la que aceptan si están en ese negocio.
Olaf
1

Solo hay dos formas de tener varios dominios asegurados que usan la misma IP. Utilice diferentes puertos de servicio para cada certificado (esta opción es una mierda) o busque una CA que permita SubjectAltName dentro de los certificados.

Con SubjectAltName puede definir tantas entradas DNS por certificado como desee. Lo que significa que un certificado autenticará varios dominios. Esto va más allá de los comodines, ya que los dominios no tienen que tener nada en común. Como ejemplo de esto, puede consultar CAcert que lo permite.

OliverS
fuente
0

Si puede encontrar un host compartido que le brinde múltiples IP, podría obtener múltiples certs, pero realmente no puede (según tengo entendido) tener múltiples certs en la misma dirección IP a menos que se comparta.

Si desea algo más rentable (y no tiene miedo de hacer un poco de su propio trabajo de configuración), puede mirar la nube de espacio en bastidor (anteriormente Mosso, similar a EC2, solo un poco más barato ... podría teóricamente ejecute un servidor de desarrollo por alrededor de $ 15 por mes): http://www.rackspacecloud.com

[ACTUALIZACIÓN] Todavía no tengo suficiente representante para comentar, pero como se indica a continuación, técnicamente podría obtener un certificado comodín, que es válido para todos los subdominios de un dominio (* .example.com, que incluye www.example.com). Sin embargo, esto no funciona con múltiples dominios, aún necesitará múltiples direcciones IP por las razones explicadas por Olaf.

Ian Selby
fuente
Sí me miraba en el CERT comodín y resulta que sería más caro, entonces simplemente inscribirse en planes de alojamiento adicionales ....
em444
0

Esta no es una respuesta tan útil en este momento, pero en el futuro, debería poder usar la Indicación del nombre del servidor , que usa una extensión en el protocolo TLS para enviar el nombre del servidor como parte del protocolo de enlace TLS. Se especifica en RFC3546 . Lamentablemente no está muy bien soportado. OpenSSL no lo habilita de manera predeterminada hasta 0.9.8j, que se lanzó hace 5 meses. IE en Windows XP no lo admite, pero sí en Vista. Y IIS simplemente no lo admite en absoluto. Hasta que todos sus usuarios en XP desaparezcan y su proveedor de hosting actualice sus servidores, no hay mucho que pueda hacer al respecto.

David Pashley
fuente
Es bueno saberlo ... desafortunadamente probablemente no sea una opción por bastante tiempo ... ¿sabe si el alojamiento VPS me permitiría lograr mi objetivo? tendría que permitir esto ... gracias
em444
Necesitaría un proveedor de alojamiento que le proporcione tantas direcciones IP como necesite. Puede encontrar un proveedor de VPS que haga esto, pero sospecho que es más probable que encuentre un servidor dedicado con esa opción, que va a ser dos o tres veces más costoso.
David Pashley
0

Es cierto que no puede tener múltiples certificados SSL para una sola IP.

Sin embargo, es técnicamente posible obtener un certificado que sea válido para domain1.example.org domain2.example.com, etc.

Aquí hay un ejemplo.

cstamas
fuente
0

¿Su host no le permite tener IP dedicadas? Debería poder encontrar un host que le permita comprar un plan con hosting compartido, pero con IP dedicadas. Estamos haciendo esto con Server Intellect www.serverintellect.com, por ejemplo, en este momento. Básicamente, solo nos cobran una pequeña tarifa por cada IP dedicada que requerimos.

Charles
fuente
0

He implementado con éxito múltiples certificados SSL en un único host, pero dedicado, utilizando alias de IP. Cómo podría o debería usarse esto en un plan de alojamiento compartido, no puedo responder. Este artículo en IBM Developerworks me pareció muy informativo.


fuente