Frage Benötigt jede Subdomain ein eigenes SSL-Zertifikat?


Ich erstelle einen WebSocket-Server, der weiterlebt ws.mysite.com. Ich möchte, dass der Web-Socket-Server auch SSL-verschlüsselt wird domain.com SSL-verschlüsselt sein. Muss ich für jede von mir erstellte Subdomain ein neues Zertifikat erwerben? Benötige ich eine dedizierte IP-Adresse für jede von mir erstellte Subdomain? Ich werde wahrscheinlich mehr als eine Subdomain haben.

Ich benutze NGINX und Gunicorn, die auf Ubuntu laufen.


28
2018-01-10 18:17


Ursprung




Antworten:


Ich werde das in zwei Schritten beantworten ...

Brauchen Sie ein SSL-Zertifikat für jede Subdomain?

Ja und Nein, es kommt darauf an. Ihr Standard-SSL-Zertifikat ist für eine einzelne Domain, sagen wir "www.domain.com". Es gibt verschiedene Arten von Zertifikaten, die Sie neben dem standardmäßigen Einzeldomänen-Zertifikat haben können: Platzhalter- und Multi-Domänen-Zertifikate.

Ein Wildcard-Zertifikat wird für etwas wie "* .domain.com" ausgestellt. Clients behandeln dies als gültig für jede Domain, die mit "domain.com" endet, wie "www.domain.com" oder "ws.domain" .com ".

Ein Multi-Domain-Zertifikat ist ein Zertifikat, das für eine vordefinierte Liste von Domain-Namen gültig ist. Dazu wird das Feld "Alternativer Name des Antragstellers" des Zertifikats verwendet. Beispielsweise könnten Sie einer Zertifizierungsstelle mitteilen, dass Sie ein Multi-Domain-Zertifikat für "domain.com" und "ws.mysite.com" möchten. Dies würde ermöglichen, dass es für beide Domänennamen verwendet werden kann.

Wenn keine dieser Optionen für Sie funktioniert, benötigen Sie zwei verschiedene SSL-Zertifikate.

Benötige ich eine dedizierte IP für jede Subdomain?

Auch dies ist ein Ja und Nein ... alles hängt von Ihrem Web- / Anwendungsserver ab. Ich bin ein Windows-Typ, also werde ich mit IIS-Beispielen antworten.

Wenn Sie IIS7 oder älter ausführen, müssen Sie SSL-Zertifikate an eine IP-Adresse binden, und Sie können nicht mehrere Zertifikate einer einzelnen IP-Adresse zuweisen. Dies führt dazu, dass Sie für jede Subdomäne eine andere IP-Adresse benötigen, wenn Sie für jede Subdomäne ein dediziertes SSL-Zertifikat verwenden. Wenn Sie ein Multi-Domain-Zertifikat oder ein Platzhalter-Zertifikat verwenden, können Sie mit der einzelnen IP-Adresse loslegen, da Sie zunächst nur ein SSL-Zertifikat haben.

Wenn Sie IIS8 oder höher ausführen, gilt das Gleiche. IIS8 + enthält jedoch Unterstützung für etwas namens Server Name Indication (SNI). SNI ermöglicht es Ihnen, ein SSL-Zertifikat an einen Hostnamen und nicht an eine IP-Adresse zu binden. Daher wird der Hostname (Servername), der für die Anforderung verwendet wird, verwendet, um anzugeben, welches SSL-Zertifikat IIS für die Anforderung verwenden soll.

Wenn Sie eine einzelne IP-Adresse verwenden, können Sie Websites so konfigurieren, dass sie auf Anforderungen für bestimmte Hostnamen antworten.

Ich weiß, dass Apache und Tomcat auch SNI unterstützen, aber ich kenne sie nicht genug, um zu wissen, welche Versionen sie unterstützen.

Endeffekt

Abhängig von Ihrer Anwendung / Webserver und welche Art von SSL-Zertifikate Sie erhalten können, diktieren Sie Optionen.


30
2018-01-10 18:36



Ich benutze Gunicorn und Nginx auf Ubuntu. - user974407
In diesem Fall sollte SNI verfügbar sein, solange OpenSSL (für nginx) der SNI-Unterstützung entspricht. Laut dem Link in GomoX's Antwort. - pkeenan
Einige einzelne Subdomänenzertifikate führen die Hauptdomäne als Alternative auf, sodass Sie unter Umständen feststellen, dass Sie www.domain.com und domain.com auf einem Zertifikat unter einer IP-Adresse ausführen können. Achten Sie darauf, Ihre Zielgruppe zu berücksichtigen, wenn Sie SNI in Betracht ziehen: IE auf XP unterstützt dies nicht, was Sie bei einigen Firmenbenutzern betrifft, auch einige alte mobile Browser wie die Android-Version von mindestens 2.3.5, die Sie berücksichtigen müssen wenn Sie auf mobile Geräte abzielen (hier gibt es viele Android-Geräte, auf denen alte Versionen laufen). - David Spillett
@ pkeenan - Es wäre gut, wenn die Antwort aktualisiert wurde, um die technischen Merkmale zu reflektieren, die Hostnamen und Domains ohne Hostnamen unterstützen - helpdesk.ssls.com/hc/en-us/articles/... - Motivated
> Kunden behandeln dies als gültig für jede Domäne, die mit "domain.com" endet, wie "www.domain.com" oder "ws.domain.com". Das lässt mich glauben, dass es auch für abc.def.domain.comIst das auch so? - Jeff


Sie können für jede Subdomain ein Zertifikat, ein Mehrfach-Subdomain-Zertifikat oder eine Platzhalterzertifikat (zum *.yoursite.com).

Sie kosten normalerweise ein ganzes Stück mehr als normale Zertifikate, und weil Sie ein einzelnes Zertifikat teilen, sind sie aus Sicherheitsgründen normalerweise nicht die beste Option, es sei denn, Sie hosten ein anything.mydomain.comArt der Anwendung, wo sie die einzige praktikable Wahl sind.

Sie benötigen auch nicht mehrere IP-Adressen, wenn Sie eine haben SNI-fähiger Webserver. Das heißt, SNI wird nur in modernen Browsern unterstützt (IE6 und darunter wird nicht funktionieren). Neuere Versionen von Nginx und Apache unterstützen SNI transparent (fügen Sie einfach SSL-fähige virtuelle Hosts hinzu).


5
2018-01-10 18:31



Was meinst du mit "nicht die beste Option aus Sicherheitsgründen"? - Motivated
Ein einzelnes Zertifikat, das für alle Ihre Hosts freigegeben ist, verwandelt jede Verletzung eines Zertifikats in eine Sicherheitsbedrohung auf Domänenebene und nicht nur auf die Subdomäne, an die das Zertifikat angehängt wurde. Zum Beispiel ist das Zertifikat, das für www.yoursite.com verwendet wird, das eine WordPress-Installation ist, das gleiche wie das für payments.yoursite.com, das eine sichere Kreditkartenbearbeitungsanwendung ist. Wenn das erste Leck auftritt, ist das zweite kompromittiert. - GomoX


Sie benötigen entweder ein separates Zertifikat für jede Subdomain, oder Sie können ein Wildcard-Zertifikat (* .domain.com) erwerben - teurer, aber sinnvoll, wenn Sie viele Subdomains hosten.

Was IPs betrifft, hängt es davon ab, wie Sie Ihren Server einrichten. Sie können Hostnamensregeln verwenden, um mehrere Standorte von derselben IP-Adresse aus zu versorgen, oder Sie können für jede einzelne IP-Adresse eindeutige IPs verwenden. Für beide Methoden gibt es Vor- und Nachteile.


0
2018-01-10 18:33