É normal que um serviço de hospedagem exija que eu compre um IPv4 público para usar meu próprio certificado de US $ 25?

Navegue suas respostas
3

Título autoexplicativo, eu acho.

Adoraria ter meu website somente em https, mas eles (o serviço de hospedagem na web) reivindicam na administração que eu preciso comprar um endereço IPv4 público deles antes de instalar meu próprio certificado que comprei em outro lugar.

Pensei que os certificados x.509 não estão vinculados a endereços IP. Existe alguma razão técnica para tal exigência ou isso é apenas uma idéia de marketing de fazer as pessoas pagarem por serviços que não precisam?

    
por Mirek 25.04.2014 / 01:28

2 respostas

2

Essa restrição é devido a uma limitação técnica no protocolo SSL / TLS.

Na hospedagem compartilhada, a hospedagem virtual baseada em nome é usada para exibir sites com nomes de domínio diferentes usando o mesmo endereço IP. No entanto, como o nome de domínio não é enviado no handshake SSL (ele é enviado na solicitação HTTP depois que a conexão SSL é estabelecida), o servidor não pode escolher entre vários certificados SSL em um determinado endereço IP com base no nome do domínio. Como resultado, apenas um certificado pode ser usado por endereço IP.

Embora Indicação do nome do servidor (SNI) contorne essa limitação, fornecendo o nome de domínio no handshake SSL, essa é uma extensão relativamente recente ( introduzida em 2006 ) que não é universalmente suportada. Em particular, o Internet Explorer no Windows XP não suporta o SNI. Como resultado, essa limitação persiste em muitos servidores, e um endereço IP dedicado é necessário para usar um certificado SSL.

    
por 25.04.2014 / 02:30
0

Esta outra resposta no StackOverflow pode explicar o que está acontecendo: de ( link )

  • Não existe o "certificado SSL". O termo é enganoso. Os certificados X.509 podem ser emitidos para finalidades diferentes (conforme definido por suas propriedades "Uso de chave e uso estendido de chave"), especialmente para proteger sessões SSL / TLS.
  • Os certificados não exigem nada em relação a soquetes, endereços e portas, pois os certificados são dados puros.
  • Ao garantir alguma conexão com o TLS, você geralmente usa o certificado para autenticar o servidor (e às vezes o cliente). Há um servidor por IP / Porta, então normalmente não há problema para o servidor escolher qual certificado usar. HTTPS é a exceção - vários nomes de domínio diferentes podem se referir a um IP e o cliente (geralmente um navegador) se conecta ao mesmo servidor para nomes de domínio diferentes. O nome de domínio é passado para o servidor na solicitação, após o handshake TLS. Aqui é onde o problema surge - o servidor web não sabe qual certificado apresentar. Para resolver isso, uma nova extensão foi adicionada ao TLS, chamada SNI (Server Name Indication). No entanto, nem todos os clientes suportam isso. Portanto, em geral, é uma boa ideia ter um servidor dedicado por IP / Porta por domínio. Em outras palavras, cada domínio, ao qual o cliente pode se conectar usando HTTPS, deve ter seu próprio endereço IP (ou porta diferente, mas isso não é normal).

Agora, eu pessoalmente usei certificados em uma base de IP, mas também em uma base de domínio em meus servidores, onde tenho servidores que usam vários certificados para vários domínios em um endereço IP. Portanto, não é necessário ter um IP por certificado SSL, mas isso pode tornar as coisas um pouco mais seguras.

    
por 25.04.2014 / 01:37

Tags

Manipulação de texto em preto em um esquema de cores terminal escuro kdbsync.exe parou de funcionar