Назад | Перейти на главную страницу

Готов ли мир к сервису виртуального хоста HTTPS на основе имен?

Возможный дубликат:
Несколько доменов SSL на одном IP-адресе и одном порте?

Я разрабатываю веб-приложение, которое ДОЛЖНО ДОЛЖНО использовать HTTPS. Это вроде как дешево разработано, и мне действительно не нужен (или не хочу платить за) собственный выделенный IP-адрес, за исключением того, что он нужен для TLS.

Кроме того, современные веб-браузеры поддерживают расширение TLS, которое позволяет множеству доменных имен работать с одним IP.

(Похоже, мы вернулись в середину 90-х, когда многие браузеры поддерживали заголовок HTTP 1.1 Host, но этого не было достаточно.)

Готов ли мир к веб-сайтам, которые полагаются на это расширение TLS, или я должен платить за выделенный IP-адрес?

Нет. IE (любая версия), работающий на WinXP, и Safari, работающий на XP или более старых версиях OS X, не поддерживают SNI. Это ваши браузеры по умолчанию для некоторых из наиболее распространенных платформ.

Получите выделенный IP-адрес. Если у вас есть виртуальный частный сервер, у вас есть один уже, а дополнительные IP-адреса у большинства провайдеров не дороги. Если вы не используете хотя бы виртуальный частный сервер, у вас нет бизнеса, в котором запущено приложение, которое должно запускать HTTPS - дешевый общий хостинг не будет обеспечивать уровень безопасности, необходимый для обеспечения конфиденциальности ваших данных.

(Если вас беспокоит то, что вы собираетесь запускать много экземпляров этой службы под другим именем хоста, и вам не нужна огромная нагрузка IP-адресов, тогда да, это проблема. Обычно решается путем размещения всех имен хостов в один домен с подстановочным сертификатом.)

Вы можете получить VPS с выделенным IP на slicehost.com за 20 долларов в месяц. Я знаю, что вы сказали дешево, но это не совсем дорого.

Что на самом деле не отвечает на ваш вопрос. Несмотря на быстрое развитие приложений, сеть оказалась очень устойчивой к изменениям инфраструктуры. Взгляните на беспорядок IPv4 / IPv6, который творится уже более десяти лет. У вас есть 100 миллионов установленных во всем мире баз, и ни один из них не поддерживает (я не думаю) HTTPS на основе имен.

Эта статья on TechRepublic рассказывает о SNI и включает список браузеров, которые в настоящее время поддерживают SNI. Взгляните на этот список и некоторые данные, например, Вот и примите собственное решение. Это действительно зависит от того, кем вы ожидаете увидеть своих клиентов.

«Мир» никогда не готов к тому, чтобы кто-то начал полагаться на нестандартные расширения в чем-либо. Если вы действительно хотите использовать что-то, что не является частью базового стандарта, вам нужно либо предоставить альтернативу, либо принять последствия. Ярким примером является протокол SMTP, у которого больше расширений, чем вы можете себе представить. Любая полуприличная почтовая программа, будь то клиент или сервер, должна вернуться к базе, когда другой конец не поддерживает расширение.

Можно создать виртуальные хосты SSL на основе имен на одном IP-адресе при условии, что все они имеют один и тот же сертификат.

Однако не все веб-серверы поддерживают этот параметр, поскольку он имеет серьезное ограничение, заключающееся в том, что он не может обрабатывать разные сертификаты.