Mehrere private SSL-Zertifikate in einem gemeinsamen Hosting-Paket? [geschlossen]

Kürzlich habe ich meinen Shared-Hosting-Anbieter kontaktiert, um für einige meiner Websites privates SSL einzurichten. Ich habe mehrere Sites, die unter demselben Plan gehostet werden (der Plan erlaubt unbegrenzte Domains). Mir wurde jedoch mitgeteilt, dass ich, da es sich um Shared Hosting handelt und letztendlich jeder Standort von derselben IP-Adresse aus betrieben wird, nur ein einziges Zertifikat installieren und nur einen meiner Standorte sichern kann (da für jedes Zertifikat eine dedizierte IP-Adresse erforderlich ist).

Die andere Option, die sie mir gaben, war die Verwendung eines freigegebenen Zertifikats. Dies ist nicht akzeptabel, da der Browser eine Zertifikatswarnung generieren würde. Meine Frage ist: Ist dies typisch für Shared-Hosting-Anbieter oder kann ich eines finden, das mehrere private Zertifikate zulässt? Ich entwickle derzeit mehrere Websites und möchte die Kosten so gering wie möglich halten, weshalb ich noch kein Upgrade auf VPS oder dediziertes Hosting durchführe. Vielen Dank.

Die Informationen, die Sie von Ihrem Shared Hosting-Anbieter erhalten haben, waren in der Tat korrekt.

SSL-basierter Datenverkehr muss an eine einzelne IP-Adresse gebunden sein, damit der anfängliche SSL-Handshake und die verschlüsselte Verbindung hergestellt werden können. Dies geschieht alles, bevor dem Webserver überhaupt die angeforderte URI angezeigt wird. Aus diesem Grund kann an jede IP-Adresse nur ein Zertifikat gebunden werden. Sie können zwar eine unbegrenzte Anzahl von Domänen an eine einzelne IP-Adresse binden, was eine Installation eines SSL-Zertifikats ausschließt.

Bei vielen gemeinsam genutzten Anbietern können Sie für bestimmte gemeinsame Hosting-Pakete eine zusätzliche IP-Adresse bezahlen, damit SSL-Zertifikate verwendet werden können. Sie werden feststellen, dass Ihr Provider dies tatsächlich anbietet, es jedoch möglicherweise nur für einen anderen Plan verfügbar ist, da dies als erweiterter Service angesehen wird und daher möglicherweise nicht für einen einfacheren Hosting-Plan verfügbar ist.

Bearbeiten: Diese Frage stammt aus dem Jahr 2009, als die Antwort (unten) richtig war. Wenn die Leute jetzt auf diese Informationen stoßen, ist das mehr oder weniger irrelevant:

Die Frage bezieht sich auf SSL , und die Einschränkung, die Sie in Bezug auf SSL angegeben haben, war und ist korrekt. Doch jeder wird mit TLS jetzt und Server Name Indication (SNI) ist weit verbreitet, die Lösung genau dieses Problems. Natürlich können Sie weiterhin Platzhalterzertifikate verwenden, es sind jedoch auch individuelle Zertifikate für jeden TLS-Host möglich .

Dies hilft in der Situation der ursprünglichen Frage von 2009 nicht weiter, aktualisiert jedoch die Antwort, um zum Zeitpunkt der Bearbeitung von 2015 relevanter zu sein

Ursprüngliche Antwort von 2009:

Die Informationen zu 1 https-Endpunkt pro IP sind korrekt. Das Protokoll ist so aufgebaut, dass die Verschlüsselung startet, bevor Client und Server die URL aushandeln, die für VirtualHosts zum Aktivieren von SSL erforderlich wäre. Der Schlüssel / das Zertifikat hängt von der URL (auch bekannt als Hostname) ab, über die mehrere Zertifikate auf einer IP eingerichtet werden. Diese wird jedoch verwendet, bevor der Server weiß, mit welcher URL Kontakt aufgenommen werden soll.

Ich verstehe, dass an dem Protokoll gearbeitet wird, aber derzeit gibt es keine Lösung für dieses Problem - zumindest nicht allgemein verfügbar.

Update: Wenn Sie nur 1 IP für sich selbst erhalten, können Sie Wildcard-Zertifikate verwenden. Grundsätzlich zertifizieren sie die Identität nicht für www.example.com, sondern für * .example.com, sodass Sie mehrere Hosts mit derselben IP-Adresse haben können, ohne dass im Browser eine Warnung generiert wird.

Es gibt nur zwei Möglichkeiten, mehrere Domänen mit derselben IP-Adresse zu sichern. Verwenden Sie für jedes Zertifikat unterschiedliche Service-Ports (diese Option ist zum Kotzen) oder suchen Sie eine Zertifizierungsstelle, die SubjectAltName in Zertifikaten zulässt.

Mit SubjectAltName können Sie beliebig viele DNS-Einträge pro Zertifikat definieren. Das bedeutet, dass ein Zertifikat mehrere Domänen authentifiziert. Dies ist jenseits von Platzhaltern, da die Domänen nichts gemeinsam haben müssen. Als Beispiel hierfür können Sie CAcert auschecken, das dies ermöglicht.

Wenn Sie mit Apache 2.2.12 SNI implementieren, ist dies nicht mehr der Fall. Pro Zertifikat ist keine einzige Adresse mehr erforderlich. Hoffentlich steht jetzt mehr davon für Shared Hosting zur Verfügung.

https://www.digicert.com/ssl-support/apache-multiple-ssl-certificates-using-sni.htm

Wenn Sie einen gemeinsam genutzten Host finden, der Ihnen mehrere IPs gibt, können Sie mehrere Zertifikate erhalten, aber Sie können nicht wirklich (wie ich es verstehe) mehrere Zertifikate auf derselben IP-Adresse haben, es sei denn, es wird gemeinsam genutzt.

Wenn Sie etwas Kostengünstigeres möchten (und keine Angst haben, etwas von Ihrer eigenen Konfigurationsarbeit zu machen), können Sie sich die Rackspace-Cloud ansehen (früher Mosso, ähnlich wie EC2, nur ein bisschen billiger ... Sie könnten es Theoretisch sollte ein Entwickler-Server für etwa 15 US-Dollar im Monat laufen ( http://www.rackspacecloud.com)

[UPDATE] Sie haben noch nicht genügend Repräsentanten, um einen Kommentar abzugeben. Wie unten angegeben, können Sie jedoch ein Wildcard-Zertifikat erhalten, das für alle Subdomains einer Domain gültig ist (* .example.com, einschließlich www.example.com). Dies funktioniert jedoch nicht mit mehreren Domains. Aus den von Olaf erläuterten Gründen benötigen Sie immer noch mehrere IP-Adressen.

Dies ist derzeit keine besonders nützliche Antwort, aber in Zukunft sollten Sie die Servername- Anzeige verwenden können , die eine Erweiterung im TLS-Protokoll verwendet, um den Servernamen als Teil des TLS-Handshakes zu senden. Es ist in RFC3546 angegeben . Leider ist es nicht sehr gut unterstützt. OpenSSL aktiviert es nicht standardmäßig bis 0.9.8j, das vor 5 Monaten veröffentlicht wurde. IE unter Windows XP unterstützt es nicht, aber unter Vista. Und IIS unterstützt das überhaupt nicht. Bis alle Ihre Benutzer auf XP verschwunden sind und Ihr Hosting-Anbieter ihre Server aktualisiert hat, können Sie nicht viel dagegen tun.

Es ist wahr, dass Sie nicht mehrere SSL-Zertifikate für eine einzelne IP haben können.

Es ist jedoch technisch möglich, ein Zertifikat zu erhalten, das für domain1.example.org, domain2.example.com usw. gültig ist.

Hier ist ein Beispiel.

Erlaubt Ihr Host Ihnen keine dedizierten IPs? Sie sollten in der Lage sein, einen Host zu finden, mit dem Sie einen Tarif mit gemeinsamem Hosting, aber dedizierten IPs erwerben können. Dies machen wir derzeit zum Beispiel mit Server Intellect www.serverintellect.com . Grundsätzlich berechnen sie uns nur eine kleine Gebühr für jede dedizierte IP, die wir benötigen.

Ich habe erfolgreich mehrere SSL-Zertifikate auf einem einzelnen, aber dedizierten Host mithilfe von IP-Aliasing bereitgestellt. Wie dies auf einem gemeinsamen Hosting-Plan verwendet werden könnte oder sollte, kann ich nicht beantworten. Ich fand diesen Artikel über IBM Developerworks sehr informativ.