Perguntas amplas sobre SSL sobre certificados, domínios e servidores

Navegue suas respostas
1

Eu só fiz coisas básicas com certificados assinados (basicamente siga as instruções da CA).

Tenho perguntas gerais a seguir que espero que alguém possa responder. Existem muitos tipos diferentes de certificados disponíveis e ainda mais pontos de preço. Estou procurando uma maneira econômica de trazer o SSL para vários serviços hospedados em um servidor físico.

O servidor tem um nome de domínio: servername.mydomain.com

O servidor também responde aos aliases: www.mydomain.com ,. mail.mydomain.com , mydomain.com

O servidor também responde aos domínios virtuais: www.virtual1.com , mail.virtual1.com , www.virtual2.com

Pelo que entendi, o SSL básico de alguém como o RapidSSL cobre apenas o servername.mydomain.com principal. O que acontece, então, se alguém acessar o domínio virtual? ou um pseudônimo? Precisamos obter certificados para esses domínios também?

Qual é a maneira econômica de cobrir todos os cenários acima?

Que tal apenas cobrir todos os aliases no domínio principal?

    
por Meltemi 24.05.2012 / 20:08

1 resposta

4

O que você está procurando são SAN (também conhecido como UCC), Wilcard Certs ou SNI.

  • SAN = nome alternativo do assunto. Os certificados são emitidos para Subject, que são mais comumente Common Names (CN), como "www.example.com". Os certificados podem ter nomes alternativos.
    • O problema é que você precisa nomear cada um deles. Como "a1.exemplo.com", "a2.exemplo.com", "b1.exemplo.com".
    • O benefício é que a maioria dos provedores oferece essa solução muito barata e quase todos os softwares habilitados para SSL os suportam bem.
  • Certices curinga são como soam, até certo ponto. Você pode obter um certificado curinga para "* .example.com" e ele cobrirá "anything.example.com" para "zebra.example.com".
    • O benefício é que você pode usar um certificado para subdomínios ilimitados de um único domínio.
    • Há duas grandes desvantagens. Um, você só tem um curinga, então só pode ser para um domínio. Dois, o curinga se aplica apenas ao nível em que aparece. Portanto, se você obtiver um certificado curinga como descrito acima, ele não funcionará para "level.two.example.com"
  • SNI = Indicador do nome do servidor. É uma nova tecnologia que permite que um servidor da Web use vários certificados no mesmo endereço e porta. Normalmente você só pode usar 1 certificado em um IP: Port tupple. Se você quiser usar várias certificações, você deve usar vários IPs ou várias portas (as portas tendem a não funcionar bem, pois você precisa especificar explicitamente a porta na URL, e nenhum usuário comum saberia digitar um número de porta ou até como).
    • O bom: você pode usar qualquer combinação dos certificados já mencionados no mesmo servidor. Isso torna bastante fácil hospedar tudo o que você mencionou na Pergunta.
    • O ruim: Pouquíssimos softwares de servidor o suportam, a maioria dos principais servidores da Web o suportam em suas versões mais recentes, mas nem todos, e fora dos servidores da Web, é muito raro.
    • O pior: Quase nenhum cliente suporta SNI, exceto a última geração de navegadores da Internet. A menos que você possa especificar para seus clientes que eles devem ter um navegador da Web atualizado, e esses clientes realmente cumprirão, isso não é uma opção por outros 2-4 anos.

O que é certo para você? Você provavelmente vai ser um maluco com alguns certificados curinga em vários IPs agora. Realmente não há opção muito melhor ainda. No final, alguns fornecedores de certificados oferecem alguns certificados wildcard bem baratos; Eu uso link porque eles são muito baratos e funcionam.

    
por 24.05.2012 / 20:36

Tags

MySQL parou de funcionar no debian squeez Como parar o Nginx redirecionando para o servidor padrão?