O endereço IP exclusivo é obrigatório para SSL?

23

A empresa de hospedagem compartilhada me disse que, se eu comprar um endereço IP, ele também será aplicável aos domínios adicionais. O que isso significa? Então o certificado SSL não funcionará, pois haverá mais de 2 domínios em um IP (se eu adicionar um domínio adicional)? Se o certificado SSL funciona com um IP em que estão hospedados dois domínios diferentes, por que não funciona em um host compartilhado?

ilhan
fonte
Não, não é necessário. Existem muitos provedores de hospedagem que permitem certificados SSL em IPs compartilhados.
William Edwards
1
Quase o mesmo que minha pergunta, um certificado SSL realmente requer um IP dedicado?
Traven

Respostas:

13

NOTA: Embora essa resposta tenha sido precisa no momento em que foi escrita e aceita, ela não está mais correta. Há outras respostas aqui que abordam o SNI, que permite vários certificados SSL por endereço IP.


Sim, você precisa de um endereço IP dedicado para o seu certificado SSL. O artigo a seguir explica exatamente o porquê:

Certificados SSL em sites com cabeçalhos de host

O parágrafo principal é:

É um problema de galinha e ovo: o nome do host é criptografado no blob SSL que o cliente envia. Como o nome do host faz parte da ligação, o IIS precisa do nome do host para procurar o certificado correto. Sem o nome do host, o IIS não pode procurar o site certo porque a ligação está incompleta. Sem o certificado, o IIS não pode descriptografar o blob SSL que contém o nome do host. Fim do jogo - estamos girando em círculos.

Existe uma maneira de usar certificados SSL com cabeçalhos de host em um endereço IP compartilhado, mas você ainda precisa obter o primeiro endereço IP:

Mas existe uma maneira, se você precisar de dois sites diferentes no mesmo IP: Porta. Você pode fazer isso obtendo um certificado que contém os dois nomes comuns, por exemplo, sitev1.mysite.com e sitev2.mysitem.com. As autoridades de certificação geralmente permitem mais de um chamado "nomes comuns" em um certificado. Ao vincular o certificado a um dos dois sites, você não receberá mais erros de certificado. O cliente ficará satisfeito se um dos nomes no certificado corresponder.

Quando o hoster diz "então será aplicável também aos domínios adicionais". , o que eles querem dizer é que você pode usar:

Kev
fonte
4
@ilhan, esta resposta não é mais precisa. Há outras respostas aqui que abordam o SNI, que permite vários certificados SSL por IP.
Mxx
Atualize esta resposta para refletir a situação atual.
Lèse majesté
20

O RFC 4366 (Server Name Indication) permite hospedagem virtual para SSL e é bastante antigo e bem suportado atualmente

Veja http://wiki.apache.org/httpd/NameBasedSSLVHostsWithSNI para uma explicação bastante detalhada.

James McCormack
fonte
Você tem algum dado sobre o suporte SNI atual?
Deebster
3
Este artigo wiki tem mais informações de compatibilidade para suporte Indicação Name Server: en.wikipedia.org/wiki/Server_Name_Indication
James McCormack
2

Existem vários tipos de certificados SSL de servidor, incluindo aqueles que funcionam para um único servidor, aqueles que podem ser usados ​​para um domínio inteiro de servidores (os chamados certificados 'curinga') e aqueles que funcionam em vários domínios.

Tenha muito cuidado com o certificado que você compra, pois isso limitará a forma como você pode escalar.

FYI: As autoridades de certificação (as empresas que emitem certificados) não gostam de emitir certificados em todo o domínio ou em vários domínios, pois os veem como uma perda de receita. (Por que emitir 1 certificado para um domínio inteiro por US $ x quando é possível emitir 5 certificados por US $ 5x?), Mas se você pressioná-los, geralmente é possível solicitá-los a emitir um certificado para todo o domínio.


fonte
2

Hospedar vários sites habilitados para SSL em um único servidor geralmente precisa de um único endereço IP por site, mas o Certificado SSL da SAN pode resolver essa dificuldade. O MS IIS 6 e o ​​Apache são capazes de acessar sites HTTPS de host virtual usando o certificado UC, também conhecido como certificados SAN.

O uso de um certificado SAN poupa o tempo e o tempo envolvidos na configuração de vários endereços IP no servidor Exchange 2007, vinculando cada endereço IP a um certificado diferente e executando muitos comandos de nível baixo do Power Shell apenas para reunir tudo.

Manutenção fácil e sem problemas do que colocar vários endereços IP no servidor e atribuir um certificado diferente a cada um.

jd4487
fonte
1

Isso significa que todo domínio hospedado por você atribuirá seu IP. Mas você pode restringir o host para definir o IP apenas para um domínio específico. Certificado SSL protegido aplicado no domínio, mas o domínio deve estar no IP dedicado. Alguns certificados SSL também podem proteger vários domínios, como geotrust multidomain ev. Na hospedagem compartilhada, existem vários domínios na mesma hospedagem, portanto, o seu IP também hospeda o domínio de outro cliente. Portanto, não é seguro, é por isso que não funcionará.

Kedin
fonte
Não há necessidade de citar a pergunta na resposta.
ChrisF