Resolve um IP de muitos SSL para um para navegadores de clientes que não suportam SNI

Question

Resolve um IP de muitos SSL para um para navegadores de clientes que não suportam SNI

#1 resposta do (5 votos)

3

Whoa, acrônimos :) Então, de acordo com essa questão você pode ter vários subdomínios SSL em um endereço IP, desde que seu servidor suporte TLS (o que o Apache 2.2x faz).

Outra resposta para essa pergunta indica que o navegador do cliente deve ter suporte a SNI para funcionar, o que o IE não faz não tem no Windows XP. Então, o que acontece com as pessoas com esse navegador é uma mensagem de aviso dizendo que o certificado SSL não corresponde ao domínio.

É possível resolver esse problema para os navegadores clientes sem suporte a SNI? Um curinga (para subdomínios) faz o truque? Existem outras opções (mais baratas)?

ssl tls linux sni apache-2.2

por Kyle 08.03.2011 / 23:53

1 resposta

Tags ssl tls linux sni apache-2.2

RewriteRules não parando com a bandeira LAST? Wireshark - Ferramenta de análise gráfica. Alguém sabe? [fechadas]

score 5 · Accepted Answer

Clientes sem suporte a SNI receberão o primeiro certificado carregado pelo Apache nessa porta.

Portanto, sim, um certificado curinga não dependerá do suporte de indicação de nome de servidor do cliente. Se todos os seus recursos tiverem um domínio pai comum, esse provavelmente é o caminho a ser seguido. A outra opção (sem domínio pai comum) é usar um certificado que forneça nomes alternativos de assunto.

Ambos são caros; um certificado de nomes alternativos é um pouco mais barato (mas limita o número de sites que você pode abranger e precisa ser reemitido quando esses sites mudam).