Knowledgebase

SNI - podpora více SSL certifikátů na jedné IP adrese

Náš webhosting nabízí podporu SSL pro všechny stránky bez nutnosti vyhrazené IP adresy. Jak je toho dosaženo? Pomocí SNI (Server Name Indication) rozšíření TLS protokolu. Více o SNI se dočtete níže:


Dříve bylo nutností vyhradit pro každou doménu zabezpečenou protokolem https:// jednu IP adresu. To ovšem bylo velmi nepraktické jak pro poskytovatele hostingových služeb, tak pro jejich zákazníky, protože bylo nutné přiřadit vlastní IP adresu pro každý VirtualHost, který chtěl zákazník zabezpečit SSL certifikátem.

Dnes, kdy jsou již IPv4 adresy prakticky vyčerpány, mohou roční náklady na vlastní IPv4 adresu překročit náklady na samotné SSL certifikáty dokonce až několikanásobně.

Řešení přichází s rozšířením SSL protokolu nazývaném SNI (Server Name Indication se specifikací v RFC4366), které serveru umožňuje na začátku komunikace předat klientskému počítači hostname. Použitím metody SNI (Apache mod_ssl) tedy můžete na jedné IP adrese sdílet více VirtualHostů a pro každý mít vlastní SSL certifikát.

Všechny moderní prohlížeče již SNI nějaký čas podporují
Opera 8.0 nebo novější
Internet Explorer 7 a vyšší
Google Chrome od verze 6
Safari 2.1 a vyšší
Android od verze 3.0

Výjimku tvoří pouze dnes již Microsoftem nepodporované Windows XP v kombinaci s jakýmkoliv Internetem Explorerem. (Je ovšem možné použít Windows XP v kombinaci s moderním prohlížečem)

A co se stane, pokud váš server navštíví klient nepodporující SNI? Server zareaguje více či méně podle očekávání, tzn. měl by použít výchozí certifikát (obvykle první certifikát v definici virtuálních webů) a po vytvoření SSL spojení naservírovat klientovi správný web. Klient se tedy na web dostane, ale s varováním o problému s předloženým certifikátem.

Více informací můžete nalézt např. na wikipedii nebo apache wiki.


OBJEDNAT WEBHOSTING