Plusieurs certificats SSL privés sur un seul plan d'hébergement partagé? [fermé]

Récemment, j'ai contacté mon fournisseur d'hébergement partagé au sujet de la configuration de SSL privé pour quelques-uns de mes sites. J'ai plusieurs sites hébergés sous le même plan (le plan permet des domaines illimités). Cependant, on m'a dit que comme il s'agit d'un hébergement partagé et que chaque site s'exécute à partir de la même adresse IP, je ne pouvais installer qu'un seul certificat et sécuriser seulement 1 de mes sites (car chaque certificat nécessite une IP dédiée).

L'autre option qu'ils m'ont donnée était d'utiliser un certificat partagé; cela est inacceptable car le navigateur générerait un avertissement de certificat. Ma question est: est-ce typique des fournisseurs d'hébergement mutualisé ou pourrais-je en trouver un qui me permet plusieurs certificats privés? Je suis en train de développer plusieurs sites et je souhaite maintenir les coûts au minimum, c'est pourquoi je ne suis pas encore passé à un VPS ou à un hébergement dédié. Merci.

Les informations fournies par votre hébergeur partagé étaient en effet exactes.

Le trafic basé sur SSL doit être lié à une seule adresse IP afin que la prise de contact SSL initiale et la connexion cryptée puissent être établies. Tout cela est fait avant que le serveur Web ne soit même présenté avec l'URI demandé. Pour cette raison, vous ne pouvez avoir qu'un seul certificat lié à chaque adresse IP. Bien que vous puissiez avoir un nombre illimité de domaines liés à une seule adresse IP, ce qui empêche l'installation d'un certificat SSL.

De nombreux fournisseurs partagés vous permettront de payer une adresse IP supplémentaire sur certains plans d'hébergement partagé pour permettre l'utilisation de certificats SSL. Vous pouvez constater que votre fournisseur offre en fait cela, mais il peut être disponible uniquement sur un autre plan car cela serait considéré comme un service plus avancé et pourrait ne pas être disponible avec un plan d'hébergement plus simple.

Edit: Cette question date de 2009, lorsque la réponse (ci-dessous) était correcte. Si les gens se heurtent à cette information maintenant, c'est plus ou moins non pertinent:

La question concerne SSL , et la limitation que vous avez indiquée à propos de SSL était et est toujours correcte. Cependant, tout le monde utilise TLS maintenant et l' indication de nom de serveur (SNI) est largement disponible, résolvant exactement ce problème. Bien sûr, vous pouvez continuer à utiliser des certificats génériques, mais des certificats individuels pour chaque hôte TLS sont également possibles .

Cela n'aidera pas dans la situation de la question originale de 2009, mais mettra à jour la réponse pour qu'elle soit plus pertinente au moment de l'édition, 2015

Réponse originale de 2009:

Les informations sur 1 point de terminaison https par IP sont correctes. Le protocole est tel que le chiffrement démarre avant que le client et le serveur ne négocient l'URL, qui serait requise pour que VirtualHosts active SSL. La clé / le certificat dépendrait de l'URL - alias le nom d'hôte - pour configurer plusieurs certificats sur une IP, mais elle est utilisée avant que le serveur ne sache quelle URL est sur le point d'être contactée.

Je comprends que le protocole est en cours d'élaboration, mais actuellement il n'y a pas de solution à ce problème - du moins pas généralement disponible.

Mise à jour: si vous n'obtenez qu'une seule adresse IP, vous pouvez utiliser des certificats génériques. Fondamentalement, ils certifient l'identité non pas pour www.example.com mais pour * .example.com, afin que vous puissiez avoir plusieurs hôtes partageant la même IP sans aucun avertissement généré dans le navigateur.

Il n'y a que deux façons de sécuriser plusieurs domaines qui utilisent la même IP. Utilisez des ports de service différents pour chaque certificat (cette option est nulle) ou recherchez une autorité de certification qui autorise SubjectAltName dans les certificats.

Avec SubjectAltName, vous pouvez définir autant d'entrées DNS que vous le souhaitez par certificat. Cela signifie qu'un certificat authentifiera plusieurs domaines. Cela dépasse les caractères génériques, car les domaines n'ont rien à avoir en commun. À titre d'exemple, vous pouvez consulter CAcert qui le permet.

Ce n'est plus le cas si vous utilisez Apache 2.2.12 implémentant SNI, une seule adresse n'est plus requise par certificat. J'espère que nous verrons plus de ceci disponible pour l'hébergement partagé maintenant.

https://www.digicert.com/ssl-support/apache-multiple-ssl-certificates-using-sni.htm

Si vous pouvez trouver un hôte partagé qui vous donnera plusieurs adresses IP, vous pourriez obtenir plusieurs certificats, mais vous ne pouvez pas vraiment (si je comprends bien) avoir plusieurs certificats sur la même adresse IP à moins qu'elle ne soit partagée.

Si vous voulez quelque chose de plus rentable (et que vous n'avez pas peur de faire un peu de votre propre travail de configuration), vous pouvez regarder le cloud rackspace (anciennement Mosso, similaire à EC2, juste un peu moins cher ... vous pourriez exécuter théoriquement un serveur de développement pour environ 15 $ par mois): http://www.rackspacecloud.com

[MISE À JOUR] Vous n'avez pas encore assez de représentants pour commenter, mais comme indiqué ci-dessous, vous pourriez techniquement obtenir un certificat générique, qui est valide pour tous les sous-domaines d'un domaine (* .example.com, qui comprend www.example.com). Cependant, cela ne fonctionne pas avec plusieurs domaines, vous aurez toujours besoin de plusieurs adresses IP pour les raisons expliquées par Olaf.

Ce n'est pas une réponse très utile pour le moment, mais à l'avenir, vous devriez pouvoir utiliser l' indication de nom de serveur , qui utilise une extension dans le protocole TLS pour envoyer le nom du serveur dans le cadre de la négociation TLS. Il est spécifié dans RFC3546 . Malheureusement, ce n'est pas très bien pris en charge. OpenSSL ne l'active pas par défaut jusqu'à 0.9.8j qui a été publié il y a 5 mois. IE sur Windows XP ne le prend pas en charge, mais le fait sur Vista. Et IIS ne le prend tout simplement pas en charge. Jusqu'à ce que tous vos utilisateurs sur XP disparaissent et que votre hébergeur mette à niveau leurs serveurs, vous ne pouvez pas faire grand-chose.

Il est vrai que vous ne pouvez pas avoir plusieurs certificats SSL pour une seule IP.

Cependant, il est techniquement possible d'obtenir un certificat valide pour domain1.example.org domain2.example.com etc ...

Voici un exemple.

Votre hôte ne vous permet-il pas d'avoir des adresses IP dédiées. Vous devriez être en mesure de trouver un hôte qui vous permet d'acheter un plan avec un hébergement partagé, mais des adresses IP dédiées. Nous faisons cela avec Server Intellect www.serverintellect.com par exemple en ce moment. Fondamentalement, ils nous facturent simplement un petit supplément pour chaque adresse IP dédiée dont nous avons besoin.

J'ai déployé avec succès plusieurs certificats SSL sur un seul hôte, mais dédié, à l'aide d'un alias IP. Comment cela pourrait ou devrait être utilisé sur un plan d'hébergement partagé, je ne peux pas répondre. J'ai trouvé cet article sur IBM Developerworks très instructif.