Vlastní SSL certifikát na virtuálních webech se SNI

xtonda · 2011-11-07 16:42:32

Na root.cz dnes vyšel zajímavý článek na téma jak provozovat více SSL (HTTPS) webů na jedné IP adrese:

http://www.root.cz/clanky/ssl-na-virtua ... ch-se-sni/

Co tak zkusit toto nasadit?

admin · 2011-11-07 18:05:17

A co tim ziskame?

JF · 2011-11-07 18:16:09

Možno že si nejaký zákazník zakúpi SSL certifikát za povedzme 12000 Kč ročne aby mal na svojej doméne overené šifrované spojenie

xtonda · 2011-11-07 18:24:02

Tak to je snad zřejmé, uživatelé Endory by mohli provozovat své weby i na šifrovaném protokolu https bez nutnosti spotřebovat extra IP adresy pro každý takový web.

Certifikát pro doménu lze získat i zdarma. http://www.startssl.com/?app=1

Ne každý potřebuje nejvyšší EVčko od Verisignu za 1 500 dolarů na rok.

JF · 2011-11-07 18:33:52

Tak o tomto free som veru nevedel. Jedna vec je že certifikát je zadarmo, druhá je ako to môže prebiehať zo strany serveru. Ak by sa nad niečim takým uvažovalo tak prv by sa to muselo otestovať či nebude daný doplnok zhadzovať server prípadne brzdiť načítavanie iných stránok na tom samom servery. Pokiaľ by to bolo stabilné tak by to šlo aktivovať len k PLUS/MEGA za nejaký doplatok. Samozrejme konečný názor má admin, je len konštatujem

xtonda · 2011-11-07 18:59:59

Podle popisu v článku tu funkci poskytuje přímo SSL modul Apache (mod_ssl nebo mod_gnutls), který je stejně potřeba kvůli SSL jako takovému. Takže žádný nový modul.

V podstatě jde jen o to aby server vybral správný klíč a certifikát na základě informace z ClientHello. Není důvod aby to znamenalo nějaký dopad na performance, jedině díky tomu, že by se díky tomu HTTPS začalo chovat použitelně a lidé by ho začali více využívat.

Konfigurace podle článku rovněž vypadá poměrně jednoduše.

Jediná komplikace by mohl být (pokud je údaj z hlavičky zasílané serverem pravdivý) upgrade Apache samotného z poněkud fousaté verze 2.2.3 (léto 2006) na něco novějšího - SNI je podle článku podporováno od verze 2.2.12.

admin · 2011-11-07 22:01:18

U plus a mega je SSL se self signed certifikatem. Pokud potrebujete vlastni certifikat tak asi nebudete hostovat za 15kc / mesic.

xtonda · 2011-11-07 22:50:34

Já sem si před časem dělal drobnou rešerši ohledně free serverových SSL certifikátů. A StartSSL od StartCom mi skutečně vyšlo nejlépe. Na rozdíl od CAcert má kořenové certifikáty v prohlížečích, takže nebude vyskakovat žádná hláška, a na rozdíl od ostatních nabídek "zdarma" to není trial na pár měsíců, ale certifikát na rok.

Pokud není kořenový certifikát v prohlížeči, tak už je jedno, jestli je to certifikát od CAcart, selfsigned nebo vystaven na jiný hostname jako je tam teď, uživatele to bude prudit a spousta jich tam vůbec nevleze.

Proč bych jen proto, že chci šifrovat a zabezpečit svůj web, měl chtít a potřebovat hosting za několik set měsíčně. Určitě tu běží spousty komunitních a nevýdělečných projektů, kde se někdo registruje nebo přihlašuje, což by rozhodně mělo jít přes SSL, ale nemohou nebo nechtějí platit hosting, který by jim dal vlastní IP.

Já tu provozuji rodinné fotoalbum, nechci aby to bylo veřejné, takže to mám zaheslované, přístup pro prohlížení i administraci. Nechci platit za hosting s vlastní IP, nechci školit rodinu v obcházení neplatných certifikátů, takže se skřípěním zubů mám přihlašování nešifrovaně.

Pokud existuje způsob jak zprovoznit SSL pro více domén na jedné IP adrese na podobném principu jako se to dělá u webů (virtual host), tak mi přijde jako velké škoda to neudělat.

admin · 2011-11-08 08:58:56

Proste to tu nebude Vubec nemyslite na to ze se museji certifikaty nejak nahravat atd . Je tu 20.000 uzivatelu - pokud jich jen 1/20 bude chtit nahrat vlastni certifikat tak nebudeme delat nic jineho.

xtonda · 2011-11-08 11:40:24

Tak by snad stačilo nastavit pravidla pro umístění certifikátů stejně jako u webů, uživatelé by si certifikáty nahrávali do předepsaného umístění sami. Navíc se to týká jen placených účtů.

Klidně by to mohlo být za příplatek nebo jako zatraktivnění programu MEGA pouze pro MEGA.

admin · 2011-11-08 15:17:45

OK kdyz se tu ozve 20 lidi (tj 0,1% uzivatelu) ze by to vyuzilo tak se to bude resit dal ...

xtonda · 2011-11-08 16:29:28

Vzhledem k tomu, že free SSL nemá vůbec, je vlastní certifikát relevantní pouze pro PLUS a MEGA uživatele. Mám to tedy chápat tak, že máte 20 000 Plus/Mega uživatelů? To je docela slušný úspěch.

Pokud tomu uděláte propagaci v sekci Oznámení co se zobrazuje ve všech fórech, tak věřím, že se zájemci najdou.

JF · 2011-11-08 16:35:30

Otázku som položil na FB https://www.facebook.com/endora.cz uvidíme koľko ľudí na ňu zareaguje.

xtonda · 2013-07-11 12:46:49

Tak si prolézám novou administraci a koukám, že sme se dočkali, hned to du vyzkoušet.

admin · 2013-07-11 17:15:58

Ano stejne tak mnoho dalsich funkci . Viz novinka na endora.cz

#1 2011-11-07 16:42:32

Re: Vlastní SSL certifikát na virtuálních webech se SNI

#2 2011-11-07 18:05:17

Re: Vlastní SSL certifikát na virtuálních webech se SNI

#3 2011-11-07 18:16:09

Re: Vlastní SSL certifikát na virtuálních webech se SNI

#4 2011-11-07 18:24:02

Re: Vlastní SSL certifikát na virtuálních webech se SNI

#5 2011-11-07 18:33:52

Re: Vlastní SSL certifikát na virtuálních webech se SNI

#6 2011-11-07 18:59:59

Re: Vlastní SSL certifikát na virtuálních webech se SNI

#7 2011-11-07 22:01:18

Re: Vlastní SSL certifikát na virtuálních webech se SNI

#8 2011-11-07 22:50:34

Re: Vlastní SSL certifikát na virtuálních webech se SNI

#9 2011-11-08 08:58:56

Re: Vlastní SSL certifikát na virtuálních webech se SNI

#10 2011-11-08 11:40:24

Re: Vlastní SSL certifikát na virtuálních webech se SNI

#11 2011-11-08 15:17:45

Re: Vlastní SSL certifikát na virtuálních webech se SNI

#12 2011-11-08 16:29:28

Re: Vlastní SSL certifikát na virtuálních webech se SNI

#13 2011-11-08 16:35:30

Re: Vlastní SSL certifikát na virtuálních webech se SNI

#14 2013-07-11 12:46:49

Re: Vlastní SSL certifikát na virtuálních webech se SNI

#15 2013-07-11 17:15:58

Re: Vlastní SSL certifikát na virtuálních webech se SNI

Zápatí