Più certificati SSL privati ​​su un unico piano di hosting condiviso? [chiuso]

Di recente ho contattato il mio provider di hosting condiviso per configurare SSL privato per alcuni dei miei siti. Ho diversi siti ospitati nello stesso piano (il piano consente domini illimitati). Tuttavia, mi è stato detto che, poiché si tratta di hosting condiviso e, alla fine, ogni sito funziona dallo stesso indirizzo IP, ho potuto installare solo un singolo certificato e proteggere solo 1 dei miei siti (poiché ogni certificato richiede un IP dedicato).

L'altra opzione che mi hanno dato era di usare un certificato condiviso; ciò è inaccettabile poiché il browser genererebbe un avviso di certificato. La mia domanda è: è tipico dei provider di hosting condiviso o potrei trovarne uno che mi permetta più certificati privati? Attualmente sto sviluppando diversi siti e vorrei mantenere i costi al minimo, motivo per cui non sto ancora eseguendo l'aggiornamento a VPS o hosting dedicato. Grazie.

Le informazioni fornite dal provider di hosting condiviso erano effettivamente accurate.

Il traffico basato su SSL deve essere associato a un singolo indirizzo IP in modo da poter stabilire l'handshake SSL iniziale e la connessione crittografata. Questo viene fatto prima ancora che al web server venga presentato l'URI richiesto. Per questo motivo è possibile avere un solo certificato associato a ciascun indirizzo IP. Sebbene sia possibile avere domini illimitati associati a un singolo indirizzo IP che preclude l'installazione di un certificato SSL.

Molti provider condivisi ti permetteranno di pagare un indirizzo IP aggiuntivo su determinati piani di hosting condiviso per consentire l'utilizzo dei certificati SSL. Potresti scoprire che il tuo provider effettivamente offre questo, ma potrebbe essere disponibile solo su un altro piano in quanto questo sarebbe considerato un servizio più avanzato, quindi potrebbe non essere disponibile con un piano di hosting più semplice.

Modifica: questa domanda è del 2009, quando la risposta (sotto) era corretta. Se le persone incontrano queste informazioni ora, è più o meno irrilevante:

La domanda riguarda SSL e la limitazione che hai dichiarato su SSL era ed è ancora corretta. Tuttavia, tutti ora utilizzano TLS e Server Name Indication (SNI) è ampiamente disponibile, risolvendo esattamente questo problema. Naturalmente è ancora possibile continuare a utilizzare i certificati con caratteri jolly, ma sono possibili anche certificati individuali per ciascun host TLS .

Questo non aiuterà nella situazione della domanda originale del 2009, ma aggiorna la risposta per essere più pertinente al momento della modifica, 2015

Risposta originale del 2009:

Le informazioni sull'endpoint 1 https per IP sono corrette. Il protocollo è tale che la crittografia inizia prima che client e server negozino l'URL, che sarebbe necessario affinché VirtualHosts abilitasse SSL. La chiave / certificato dipenderebbe dall'URL - ovvero il nome host - per l'impostazione di più certificati su un IP, ma viene utilizzato prima che il server sappia quale URL sta per essere contattato.

Comprendo che il protocollo è in fase di elaborazione, ma al momento non esiste una soluzione a questo problema, almeno non generalmente disponibile.

Aggiornamento: se ottieni solo 1 IP, puoi utilizzare i certificati con caratteri jolly. Fondamentalmente certificano l'identità non per www.esempio.com ma per * .esempio.com, in modo che tu possa avere più host che condividono lo stesso IP senza alcun avviso generato nel browser.

Esistono solo due modi per proteggere più domini che utilizzano lo stesso IP. Utilizzare porte di servizio diverse per ciascun certificato (questa opzione fa schifo) o trovare una CA che consenta SubjectAltName all'interno dei certificati.

Con SubjectAltName puoi definire tutte le voci DNS per certificato che desideri. Significa che un certificato autenticherà diversi domini. Questo va oltre i caratteri jolly poiché i domini non devono avere nulla in comune. Ad esempio, puoi dare un'occhiata a CAcert che lo consente.

Non è più il caso se si utilizza Apache 2.2.12 implementando SNI, non è più necessario un singolo indirizzo per certificato. Speriamo di vederne altre disponibili per l'hosting condiviso ora.

https://www.digicert.com/ssl-support/apache-multiple-ssl-certificates-using-sni.htm

Se riesci a trovare un host condiviso che ti darà più IP, potresti ottenere più certificati, ma non puoi davvero (come ho capito) avere più certificati sullo stesso indirizzo IP a meno che non sia condiviso.

Se vuoi qualcosa di più economico (e non hai paura di fare un po 'del tuo lavoro di configurazione), potresti guardare il cloud dello spazio di archiviazione (precedentemente Mosso, simile a EC2, solo un po' più economico ... potresti teoricamente eseguire un server di sviluppo per circa $ 15 al mese): http://www.rackspacecloud.com

[AGGIORNAMENTO] Non hai ancora abbastanza rappresentante per commentare, ma come indicato di seguito potresti tecnicamente ottenere un certificato jolly, che è valido per tutti i sottodomini di un dominio (* .example.com, che include www.example.com). Tuttavia, questo non funziona con più domini, avrai comunque bisogno di più indirizzi IP per i motivi spiegati da Olaf.

Questa non è una risposta così utile in questo momento, ma in futuro dovresti essere in grado di utilizzare l' indicazione del nome del server , che utilizza un'estensione nel protocollo TLS per inviare il nome del server come parte dell'handshaking TLS. È specificato in RFC3546 . Purtroppo non è supportato molto bene. OpenSSL non lo abilita per impostazione predefinita fino a 0.9.8j che è stato rilasciato 5 mesi fa. IE su Windows XP non lo supporta, ma su Vista. E IIS non lo supporta affatto. Fino a quando tutti i tuoi utenti su XP scompaiono e il tuo provider di hosting aggiorna i loro server, non c'è molto che puoi fare al riguardo.

È vero che non è possibile avere più certificati SSL per un singolo IP.

Tuttavia è tecnicamente possibile ottenere un certificato valido per domain1.example.org domain2.example.com ecc ...

Ecco un esempio

Il tuo host non ti consente di avere IP dedicati. Dovresti essere in grado di trovare un host che ti consenta di acquistare un piano con hosting condiviso, ma IP dedicati. Lo stiamo facendo con Server Intellect www.serverintellect.com per esempio proprio ora. Fondamentalmente, ci fanno pagare solo una piccola tassa separata per ogni IP dedicato di cui abbiamo bisogno.

Ho distribuito con successo più certificati SSL su un singolo host, ma dedicato, utilizzando l'aliasing IP. Come questo potrebbe o dovrebbe essere usato su un piano di hosting condiviso, non posso rispondere. Ho trovato questo articolo su IBM Developerworks molto istruttivo.