O mundo está pronto para o serviço vhost HTTPS baseado em nomes? [duplicado]

Navegue suas respostas
6

Estou desenvolvendo um aplicativo da Web que DEVE DEVE usar HTTPS. É meio que desenvolvido de forma barata, e eu realmente não preciso (ou quero pagar) meu próprio endereço IP dedicado, exceto que é necessário para TLS.

Exceto pelos navegadores da Web modernos que suportam uma extensão do TLS que permite que muitos nomes de domínio operem por trás de um único IP.

(Parece que estamos de volta em meados dos anos 90, quando muitos navegadores suportavam o cabeçalho HTTP 1.1 Host, mas o suficiente não.)

O mundo está pronto para sites que contam com esta extensão TLS, ou devo pagar por um IP dedicado?

    
por billpg 20.12.2009 / 00:12

5 respostas

6

Não. O IE (qualquer versão) em execução no WinXP e o Safari em execução no XP ou no OS X mais antigo não farão o SNI. Esses são seus navegadores padrão para algumas das plataformas mais comuns.

Obtenha um endereço IP dedicado. Se você tiver um servidor privado virtual, você já tem um , e os IPs extras não são caros na maioria dos provedores. Se você não estiver executando pelo menos um servidor virtual privado, não terá nenhum negócio executando um aplicativo que deve obrigatoriamente executar HTTPS - a hospedagem compartilhada barata não oferecerá o nível de segurança necessário para garantir que seus dados sejam particulares.

(Se a sua preocupação é que você vai estar executando muitas instâncias deste serviço sob hostname diferente e você não quer uma carga enorme de endereços IP, então sim, isso é um problema. Geralmente resolvido colocando todos os os nomes de host em um domínio com um certificado curinga.)

    
por 20.12.2009 / 05:41
2

Você pode obter um VPS com um IP dedicado em slicehost.com por US $ 20 / mês. Eu sei que você disse barato, mas isso não é exatamente caro.

O que não responde realmente à sua pergunta. Apesar da rápida evolução dos aplicativos, a rede tem sido muito resistente a mudanças de infraestrutura. Dê uma olhada na bagunça do IPv4 / IPv6 - que está acontecendo há mais de uma década. Você tem uma base mundial instalada em centenas de milhões e nenhum deles suporta (não acho) HTTPS baseado em nome.

    
por 20.12.2009 / 00:17
1

Este artigo na TechRepublic fala sobre o SNI e inclui uma lista de navegadores que atualmente suportam o SNI. Dê uma olhada nesta lista e em alguns dados de, por exemplo, aqui e tome sua própria decisão. Isso realmente depende de quem você espera que seus clientes sejam.

    
por 20.12.2009 / 03:56
0

O "mundo" nunca está pronto para alguém começar a confiar em extensões não padronizadas para qualquer coisa. Se você realmente quiser usar algo que não faz parte do padrão básico, você precisa fornecer uma alternativa ou aceitar as consequências. Um bom exemplo é o protocolo SMTP, que tem mais extensões do que você pode agitar uma vara em. Qualquer programa de correio meio decente, seja ele cliente ou servidor, deve retornar à base quando o outro lado não suportar uma extensão.

    
por 20.12.2009 / 07:11
0

É possível fazer hosts virtuais SSL baseados em nome em um único endereço IP, desde que todos compartilhem o mesmo certificado.

No entanto, nem todos os servidores da web suportam essa opção, pois tem a limitação severa de não poder lidar com certificados diferentes.

    
por 20.12.2009 / 09:16

Tags

Como proteger um OS X Server de uma conexão física não autorizada? Qual é a diferença entre hardstatus e legenda no GNU Screen?