¿Es imprescindible una dirección IP única para SSL?

23

La empresa de alojamiento compartido me dijo que si compro una dirección IP, también será aplicable a los dominios adicionales. Qué significa eso? ¿Entonces el certificado SSL no funcionará ya que habrá más de 2 dominios en una IP (si agrego un dominio adicional)? Si el certificado SSL funciona con una IP donde se alojan dos dominios diferentes, ¿por qué no funciona en un host compartido?

ilhan
fuente
No, no es obligatorio Hay muchos proveedores de alojamiento que permiten certificados SSL en IP compartidas.
William Edwards
1
Casi lo mismo que mi pregunta, ¿un certificado SSL realmente requiere una IP dedicada?
Traven

Respuestas:

13

NOTA: Si bien esta respuesta fue precisa en el momento en que fue escrita y aceptada, ya no es correcta. Aquí hay otras respuestas que abordan SNI que permite múltiples certificados SSL por dirección IP.


Sí, necesita una dirección IP dedicada para su certificado SSL. El siguiente artículo explica exactamente por qué:

Certificados SSL en sitios con encabezados de host

El párrafo clave es:

Es un problema de huevo y gallina: el nombre del host está encriptado en el blob SSL que envía el cliente. Debido a que el nombre de host es parte del enlace, IIS necesita el nombre de host para buscar el certificado correcto. Sin el nombre de host, IIS no puede buscar el sitio correcto porque el enlace está incompleto. Sin el certificado, IIS no puede descifrar el blob SSL que contiene el nombre de host. Juego terminado: estamos girando en círculos.

Hay una manera de usar certificados SSL con encabezados de host en una dirección IP compartida, pero aún necesita obtener esa primera dirección IP:

Pero hay una manera si necesita dos sitios diferentes en la misma IP: Puerto. Puede lograr esto obteniendo un certificado que contenga ambos nombres comunes, es decir, sitev1.mysite.com y sitev2.mysitem.com. Las Autoridades de Certificación generalmente permiten más de un llamado "nombre común" en un certificado. Al vincular el certificado a uno de los dos sitios, ya no recibirá errores de certificado. El cliente está contento si uno de los nombres en el certificado coincide.

Cuando su proveedor de alojamiento dice "entonces también será aplicable para los dominios de complementos". , lo que significan es que puedes usar:

Kev
fuente
44
@ilhan esta respuesta ya no es precisa. Aquí hay otras respuestas que abordan SNI que permite múltiples certificados SSL por IP.
Mxx
Actualice esta respuesta para reflejar la situación actual.
Lèse majesté
20

RFC 4366 (Indicación de nombre del servidor) permite el alojamiento virtual para SSL y es bastante antiguo y bien soportado hoy en día

Consulte http://wiki.apache.org/httpd/NameBasedSSLVHostsWithSNI para obtener una explicación bastante detallada.

James McCormack
fuente
¿Tiene algún dato sobre el soporte SNI actual?
Deebster
3
Este artículo wiki tiene más información de compatibilidad para el soporte de Indicación de Nombre de Servidor: en.wikipedia.org/wiki/Server_Name_Indication
James McCormack
2

Existen varios tipos de certificados SSL de servidor, incluidos los que funcionan para un solo servidor, los que se pueden usar para un dominio completo de servidores (los llamados certificados 'comodín') y los que funcionan en varios dominios.

Tenga mucho cuidado con el certificado que compra, ya que limitará cómo puede escalar.

FYI: A las autoridades de certificación (las compañías que emiten certs) no les gusta emitir certs de dominio múltiple o multi-dominio ya que los ven como una pérdida de ingresos. (¿Por qué emitir 1 certificado para un dominio completo a $ x cuando puede emitir 5 certificados por $ 5x?) Pero si presiona themy, generalmente puede hacer que le emitan un certificado para todo el dominio.


fuente
2

Hospedar múltiples sitios web habilitados para SSL en un solo servidor generalmente necesita una única dirección IP por sitio, pero el Certificado SAN SSL puede resolver esta dificultad. MS IIS 6 y Apache pueden alojar sitios HTTPS de host virtual utilizando el certificado UC, también conocido como certificados SAN.

El uso de un certificado SAN le ahorra la molestia y el tiempo involucrado en la configuración de múltiples direcciones IP en su servidor de Exchange 2007, vincula cada dirección IP a un certificado diferente y ejecuta una gran cantidad de comandos Power Shell de bajo nivel para unirlo todo.

Sin esfuerzo y sin problemas de mantenimiento que poner varias direcciones IP en su servidor y asignar un certificado diferente a cada una.

jd4487
fuente
1

Significa que todos los dominios alojados por usted asignarán su IP. Pero puede restringir el host para configurar la IP solo para un dominio específico. Certificado SSL seguro aplicado en el dominio, pero el dominio debe estar en una IP dedicada. Algunos certificados SSL también pueden asegurar múltiples dominios como geotrust multidomain ev. En el alojamiento compartido, hay varios dominios en el mismo alojamiento, por lo que su IP también aloja el dominio de otro cliente. Por lo tanto, no es seguro, por eso no funcionará.

Kedin
fuente
No hay necesidad de citar la pregunta en la respuesta.
ChrisF