Problém s HTTP cez SSL (t.j. HTTPS) je ten, že nadviazanie SSL musí prebehnúť skôr, než je klient v rámci HTTP hlavičiek schopný povedať, na aké doménové meno vlastne prišiel (HTTP hlavička
Host:). Server pri nadväzovaní SSL nevie, akú doménu klient napísal do prehliadača, preto poskytne len jeden certifikát - ten čo je v configu ako prvý. Ak obe doménové názvy smerujú na tú istú IP, tak aj na ten druhý doménový názov server zareaguje certifikátom toho prvého a prehliadač to správne vyhodnotí ako neplatný certifikát (pre doménu, na ktorú chcel ísť on).
Riešenia sú v princípe 3:
1) druhú doménu hostovať na inej IP adrese, na ktorej apache bude poskytovať druhý certifikát
Nevýhoda: pri IPv4 znamená dodatočné mesačné náklady
2) druhú doménu hostovať na tej istej IP adrese, ale na inom porte
Nevýhoda: klient musí písať adresu URL aj s portom (
https://example.com:9443/) a keď na to zabudne, tak opäť dôjde k situácii s "neplatným" certifikátom
3) používať jeden certifikát, ktorý je platný pre viac domén - buď wildcard, ak ide o subdomény tej istej hlavnej domény (napr. shop.example.com a
www.example.com), alebo certifikát s rozšírením SAN (Subject Alternative Name, niekedy tiež označovaný ako Multi-domain alebo UCC - Unified Communication Certificate), ktorý je platný okrem hlavnej domény aj pre alaiasy (napr. shop.example.com, shop.example.cz a shop.example.sk).
Nevýhoda: takýto certifikát je drahší a v prípade SAN možno za nevýhodu považovať aj to, že v ňom sú vymenované všetky tieto (sub)domény, čo si môže hocikto prečítať
18 Odpovědí
4618 Zhlédnutí