He leído un poco acerca de los certificados SSL, y, en particular, he leído que un certificado SSL «requiere una dirección IP dedicada». Ahora, no estoy seguro de lo que esto significa; significa que el certificado requiere una dirección IP dedicada independiente de la dirección IP utilizada para la normal comunicación HTTP, o simplemente que no se puede compartir la dirección IP con otros certificados SSL?

Para aclarar, tengo un VPS con una dirección IP dedicada. El VPS hosting bastantes sitios diferentes, incluyendo varios subdominios del sitio principal, pero sólo la página principal y el subdominios requiere SSL. Puedo simplemente comprar un certificado SSL para *.example.com usando mi dirección IP actual, o tengo que conseguir uno que es independiente de los otros sitios en el VPS? O peor aún, ¿debo conseguir uno que es independiente de todo el tráfico HTTP en el servidor? Tenga en cuenta que ninguno de los otros sitios necesidades SSL.

Gracias por cualquier aclaración sobre el tema.


Edit: Algunas fuentes de mis preocupaciones:

http://symbiosis.bytemark.co.uk/docs/symbiosis.html#ch-ssl-hosting

Es necesario tener Dirección IP dedicada para instalar el certificado SSL?

InformationsquelleAutor Hubro | 2013-04-03

4 Comentarios

  1. 35
    1. No hay tal cosa como «certificado SSL». El término es engañoso. X. 509 certificados pueden ser emitidos para diferentes propósitos (como se define por su Uso de Claves y Uso de Clave Extendida «propiedades»), en particular para asegurar SSL/TLS sesiones.

    2. Certificados no se requiere nada en lo que respecta a sockets, las direcciones y los puertos, ya que los certificados son puros datos.

    3. Al asegurar algún tipo de conexión con TLS, se suele usar el certificado para autenticar el servidor (y a veces el cliente). Hay un servidor por IP/Puerto, por lo que generalmente no hay ningún problema para que el servidor de elegir qué certificado a utilizar.

      HTTPS es la excepción — diferentes nombres de dominio puede referirse a una IP y el cliente (normalmente un navegador se conecta al servidor de nombres de dominio diferentes. El nombre de dominio se pasa al servidor en la solicitud, que va después de TLS handshake.

      Aquí es donde surge el problema – el servidor web no saber el certificado que se presente. Para abordar esta una nueva extensión ha sido añadido a TLS, denominado SNI (Server Name Indication). Sin embargo, no todos los clientes de apoyo. Así que en general es una buena idea tener un servidor dedicado por IP/Puerto por dominio. En otras palabras, cada dominio, para que el cliente se puede conectar con HTTPS, debe tener su propia dirección IP (o puerto diferente, pero eso no es lo habitual).

    • Esperar, SNI es ampliamente apoyado a la derecha? ¿Por qué cada dominio necesita su propia dirección IP?
    • No, SNI no es tan compatibles como parece. En realidad hasta el 2014 TLS 1.1 no fue ampliamente apoyado en todo, con muchos servidores con versiones antiguas de OpenSSL que se estrelló justo cuando la petición incluye TLS 1.1 o 1.2. También la referencia a la respuesta menciona la compatibilidad del navegador y se olvida de que existen un montón de HTTPS clientes que no son navegadores (IIRC los navegadores son una minoría de todos los HTTPS clientes). Por último, si usted lee mi respuesta, he escrito «no todos los clientes de la apoyen». Si no se preocupan acerca de la compatibilidad no hay problemas.
    • Usted ha afirmado que el SNI es solucionar el problema que «el servidor web no saber el certificado que se presente». No significa esto que el SNI debe ser enviado antes de el enlace TLS como contraposición a después?
    • El TLS handshake consta de varios pasos, y SNI se envió cuando un apretón de manos.
    • Entonces no podía MITM olfatear el SNI y conocer el dominio que usted está visitando?
    • Le invitamos a leer el TLS especificación para conocer los detalles de la apretón de manos. El dominio al que está conectado el cliente puede ser aprendido de el certificado presentado por el servidor de todos modos, por lo que este no es el secreto.

  2. 5

    Certificados SSL no requieren una dirección IP dedicada. Los certificados SSL de la tienda de lo que se denomina nombre común. Navegador de interpretar este nombre común como el nombre DNS del servidor en el que está hablando. Si el nombre no coincide con el nombre DNS del servidor de que el navegador está hablando, el examinador emitirá una advertencia.

    Usted puede conseguir lo que se llama un el certificado comodín, que sería admisible para todos los hosts dentro de un cierto dominio.

  3. 3

    …de seguir en @Eugenio respuesta con más información sobre el problema de compatibilidad…

    Según esta página de namecheap.com SNI no funciona en:

    • Windows XP + cualquier versión de Internet Explorer (6,7,8,9)
    • Internet Explorer 6 o versiones anteriores
    • Safari en Windows XP
    • Navegador BlackBerry
    • Windows Mobile 6,5
    • Navegador Nokia Symbian, al menos en Series60
    • Opera Mobile para Symbian, al menos en Series60

    Sitio Web seguirá estando disponible a través de HTTPS, pero un certificado de desajuste de error aparecerá.

    Por lo tanto, para entrar en 2016 me atrevería a meter mi cuello ahí y decir, «Si usted está construyendo un sitio web moderno de todos modos (no apoyar a los navegadores antiguos), y si el proyecto es tan pequeño que no puede permitirse el lujo de una dirección IP dedicada, usted probablemente va a estar bien confiando en el SNI.» Por supuesto, hay miles de expertos que están de acuerdo con esto, pero estamos hablando de estar práctica, no es perfecto.

  4. 0

    El certificado ssl comunes nombre tiene que coincidir con el nombre de dominio. Usted no tiene ningún requisito sobre la dirección ip, a menos que sea una limitación impuesta por el proveedor de certificados o el servidor http de software.

    Editar: buscando en la web, parece que el rumor que se ha extendido a causa de Apache ssl plugin no tiene (al menos no tenía en 2002) cualquier mecanismo de diferentes certificado basado en el nombre de host. En tal escenario tendría que ejecutar dos diferentes servidores web Apache en las dos direcciones IP diferentes.

    De todos modos en su configuración, usted no debería tener ningún problema usando sólo una IP, ya que usted no tiene que usar dos certificados diferentes (porque va a utilizar un certificado comodín).

    Me gustaría intentarlo de todos modos configurar el servidor web con un certificado autofirmado antes de gastar dinero para una segunda ip o certificado.

    Editar 2: referencia de la documentación de apache:

    http://httpd.apache.org/docs/2.2/vhosts/name-based.html

    Parece que ahora (apache >= 2.2.12) es compatible

Dejar respuesta

Please enter your comment!
Please enter your name here