significado - que es https y para que sirve
¿Qué significa exactamente que "cada certificado SSL requiere una IP dedicada" significa? (4)
No hay tal cosa como "certificado SSL". El término es engañoso. Los certificados X.509 se pueden emitir para diferentes propósitos (según lo definido por su Uso de clave y "Propiedades" de uso de clave extendida), en particular para asegurar sesiones SSL / TLS.
Los certificados no requieren nada en lo que respecta a enchufes, direcciones y puertos, ya que los certificados son datos puros.
Al asegurar alguna conexión con TLS, generalmente utiliza el certificado para autenticar el servidor (y algunas veces el cliente). Hay un servidor por IP / puerto, por lo que generalmente no hay problema para que el servidor elija qué certificado usar.
HTTPS es la excepción: varios nombres de dominio diferentes pueden referirse a una dirección IP y el cliente (generalmente un navegador) se conecta al mismo servidor para diferentes nombres de dominio. El nombre de dominio se pasa al servidor en la solicitud, que va después del saludo de TLS.
Aquí es donde surge el problema: el servidor web no sabe qué certificado presentar. Para solucionar esto, se ha agregado una nueva extensión a TLS, llamada SNI (Server Name Indication). Sin embargo, no todos los clientes lo admiten. Por lo tanto, en general, es una buena idea tener un servidor dedicado por IP / puerto por dominio. En otras palabras, cada dominio, al que el cliente puede conectarse utilizando HTTPS, debe tener su propia dirección IP (o puerto diferente, pero eso no es habitual).
He leído un poco sobre certificados SSL y, en particular, he leído que un certificado SSL "requiere una dirección IP dedicada". Ahora, no estoy seguro del significado de esto; ¿significa que el certificado requiere una dirección IP dedicada separada de la dirección IP utilizada para la comunicación HTTP normal, o simplemente que no puede compartir la dirección IP con otros certificados SSL?
Para aclarar, tengo un VPS con una dirección IP dedicada. El VPS está alojando bastantes sitios diferentes, incluidos varios subdominios del sitio principal, pero solo el sitio principal y los subdominios requieren SSL. ¿Puedo simplemente comprar un certificado SSL para * .example.com usando mi dirección IP actual, o necesito obtener uno que esté separado de los otros sitios en el VPS? O lo que es peor, ¿necesito obtener uno que esté separado de todo el tráfico HTTP en el servidor? Tenga en cuenta que ninguno de los otros sitios necesita SSL.
Gracias por cualquier aclaración sobre el tema.
Editar: Algunas fuentes para mis preocupaciones:
http://symbiosis.bytemark.co.uk/docs/symbiosis.html#ch-ssl-hosting
¿Es necesario tener una dirección IP dedicada para instalar un certificado SSL?
... siguiendo la respuesta de @ Eugene con más información sobre el problema de compatibilidad ...
Según esta página de namecheap.com, SNI no funciona en:
- Windows XP + cualquier versión de Internet Explorer (6,7,8,9)
- Internet Explorer 6 o anterior
- Safari en Windows XP
- Navegador de BlackBerry
- Windows Mobile hasta 6.5
- Nokia Browser para Symbian al menos en Series60
- Opera Mobile para Symbian al menos en Series60
El sitio web seguirá estando disponible a través de HTTPS, pero aparecerá un error de coincidencia de certificado.
Por lo tanto, cuando ingresemos en 2016 me atrevería a decir: "Si estás construyendo un sitio web moderno de todos modos (no es compatible con navegadores antiguos), y si el proyecto es tan pequeño que no puede permitirse una dirección IP dedicada , probablemente estarás bien confiando en SNI ". Por supuesto, hay miles de expertos que estarían en desacuerdo con esto, pero estamos hablando de ser prácticos , no perfectos.
El nombre del commmon del certificado ssl debe coincidir con el nombre del dominio. No tiene ningún requisito sobre la dirección IP, a menos que sea una limitación impuesta por el proveedor del certificado o el software del servidor http.
Editar : mirando en la web, parece que el rumor se ha propagado porque el complemento ssl de Apache no tiene (al menos no tenía en 2002) ningún mecanismo para usar un certificado diferente basado en el nombre de host. En tal escenario, debería ejecutar dos servidores web Apache diferentes en las dos direcciones IP diferentes.
De todos modos, en su configuración no debería tener ningún problema al usar solo una IP porque no tiene que usar dos certificados diferentes (porque planea usar un certificado de comodín).
De todos modos, intentaría configurar el servidor web con un certificado autofirmado antes de gastar dinero en una segunda ip o certificado.
Edición 2 : documentación de referencia de apache:
http://httpd.apache.org/docs/2.2/vhosts/name-based.html
Parece que ahora (apache> = 2.2.12) es compatible
Los certificados SSL no requieren una dirección IP dedicada. Los certificados SSL almacenan un nombre común . El navegador interpreta este nombre común como el nombre DNS del servidor con el que están hablando. Si el nombre común no coincide con el nombre DNS del servidor con el que está hablando el navegador, el navegador emitirá una advertencia.
Puede obtener un llamado certificado de comodín , que sería admisible para todos los hosts dentro de un dominio determinado.