fragen stichworte

Probleme mit mehreren SSL auf derselben IP, jedoch nur in ausgewählten Clients

Ich weiß, dass es mehrere Posts über mehrere SSL auf derselben IP gibt, aber ich verspreche, dass ich kein totes Pferd besiege. Meine Frage ist sehr klar. Zuerst ein wenig Hintergrund ...

Unsere Organisation verfügt über mehrere E-Commerce-Websites. Alle diese Sites laufen auf derselben IP und verwenden SNI für namenbasierte virtuelle Hosts. In den meisten Fällen funktioniert das hervorragend. In einigen Browsern (z. B. 7/ie8, aber aus bestimmten Gründen nur auf ausgewählten Computern) haben wir Berichte erhalten, dass Benutzer mit dem SSL-Zertifikat einen Widerspruch in der Domäne festgestellt haben. Es stellte sich heraus, dass das SSL-Zertifikat für den ersten SSL-Host in alphabetischer Reihenfolge angezeigt wurde, da Apache die IP-Adresse zuerst auflöst und dann die richtige virtuelle Host-Datei sucht.

Ich habe ein wenig mit dem SSL-Protokoll experimentiert und festgestellt, dass es so ist (ssl.conf):

SSLProtocol TLSv1

Dann würde ich einfach eine nicht gefundene https-Domäne im IE finden.

Wenn ich SSLStrictSNIVHostCheck in ports.conf

einstelle

SSLStrictSNIVHostCheck für

Dann würde mir eine Berechtigung in problematischen Browsern verweigert.

Das Problem ist offensichtlich, dass der IE das TLSv1-Protokoll oder SNI nicht unterstützt oder nicht verwendet, die beide benötigt werden. Meine Frage ist also ...

Gibt es eine Konfigurationsänderung, die ich vornehmen kann, um den IE zu unterstützen, möglicherweise unter einem anderen Protokoll, oder ist meine einzige Option eine separate IP für jeden virtuellen Host, für den SSL erforderlich ist?

Vielen Dank im Voraus =)

antworten

Die SNI-Unterstützung fehlt leider immer noch. Sie geben nicht an, aber ich wette, dass Ihre problematischen IE-Browser auf Windows XP-Computern installiert sind, ja? In keiner IE-Version unter Windows XP (oder früher) gibt es keine SNI-Unterstützung. Es wird nur von Vista und höher unterstützt, und nur in IE 7 und höher.

Hier finden Sie eine Liste von Browsern, die SNI unterstützen.

Mein Tipp: Wenn Sie Clients unterstützen müssen, die keine SNI-Unterstützung haben (und da die Anzahl der XP-Systeme immer noch vorhanden ist, müssen Sie dies wahrscheinlich tun), müssen Sie Lösungen implementieren, die nicht von SNI abhängig sind .

Wenn Sie ein breites Publikum erreichen möchten, verwenden Sie kein SNI. Es wird nicht ausreichend unterstützt und sollte in den nächsten paar Jahren vermieden werden.

Sie sollten sich stattdessen die UCC/SAN-Zertifikate ansehen. Es ist normalerweise teurer, aber es ist das Richtige in dieser Situation. Oder Sie hätten jedem Standort eine IP-Adresse zugewiesen.

http://www.geotrust.com/ssl/ssl-certificates-san-uc/ enthält weitere Informationen zu dieser Art von Zertifikat.

Heute haben etwa 10% der Internetnutzer keine Unterstützung für die Servernamenanzeige. Bei GlobalSign haben wir kürzlich eine Lösung entwickelt, um Benutzer zu unterstützen, die keine SNI (Server Name Indication) unter Verwendung von zwei SSL-Zertifikaten (eines für die IP-Adresse und ist kostenlos) unterstützen. In einem Blog-Artikel, den wir heute veröffentlicht haben, können Sie mehr über das Problem und die Lösung lesen, die wir erstellt haben, um mehrere SSL-Zertifikate auf einer einzigen IP-Adresse sicher zu hosten.

https://www.globalsign.com/blog/saving-ipv4-resources.html