Хостинг. SSL i виділений IP

binlab
11 років
0
Чому для активації ssl потрібно купувати виділений IP? 25 грн на місяць за виділений ІР це нагрівання на грошах! А технічно такої необхідності немає.
Евгений В.
11 років
1
Тут есть, как говорится, небольшой нюанс.
Дело в том, что хоть и SSL-сертификат привязывается к Вашему домену, но сервер производит соединение по IP-адресу. Так как на одном сервере виртуального хостинга (а соответственно, и одном АйПи адресе) могут быть десятки хостинг-аккаунтов и сотни сайтов, то при попытке связать несколько сертификатов (а ведь не только Вы на виртуальном хостинге можете использовать SSL!) с IP-адресом начинаются проблемы. Например в результате подобной ошибки при попытке зайти на Ваш сайт, ему может быть присвоен чужой сертификат (который стоит первым в конфиге).

Вот чтобы такого не случалось - хостинг и "нагревается" на деньгах ничего не подозревающих клиентов. :)

Кстати, один из способов не заказывать выделенный IP - аренда или покупка собственного сервера, так как он по умолчанию имеет собственный IP.
binlab
11 років
0
не зрозумів, як це так? "Например в результате подобной ошибки при попытке зайти на Ваш сайт, ему может быть присвоен чужой сертификат (который стоит первым в конфиге)." при такій логіці як Ви пишите "в результате подобной ошибки" мому сайту може бути присвоєна чужа директорія і відповідно чужий сайт. Шлях до сертифікату і його імя прописані в конфігу Апача для кожного домена. Тому не зрозуміло про яку помилку ви пишите, для цього і були придумані віртуальні домени щоб була можливість розміщати на одному ІР багато доменних імен.
Евгений В.
11 років
0
Да, но ведь доменное имя в процессе обращения к сайту разрешается в ip-адрес, верно?
binlab
11 років
0
Один ІР, один порт 80, (ми ж кожному сайту не даємо окремий порт) і звернення відповідно буде до одного ІР і одного порта для всіх доменів що "висять" на ньому, про те це не заважає апачу вірно розпізнавати куди саме звертається користувач (на який домен) і вірно направляти запити у директорію виділену для даного домена. Цей увесь механізм якраз і називається "віртуальний хостинг" (за який власне і платяться гроші), ось Вам вирізка із вікі -
"Существует два основных метода реализации доступа к веб-сайтам:
по имени (также называемый англ. shared IP hosting), когда все веб-сайты используют один общий IP-адрес. Согласно протоколу HTTP/1.1 веб-браузер при запросе к веб-серверу указывает доменное имя веб-сайта в поле Host заголовка текущего запроса, и веб-сервер использует его для правильного выполнения запроса, а также копирует это имя в ячейку [HTTP_HOST] суперглобального массива $_SERVER.
по IP-адресу (также называемый англ. dedicated IP hosting), при котором у каждого веб-сайта есть собственный IP-адрес, а веб-сервер имеет несколько физических или виртуальных сетевых интерфейсов."
пруфлінк - ru.wikipedia.org/wiki/Виртуальный_хостинг
а оскільки Ви надаєте клієнтам власне по дефолту "shared IP hosting" але не даєте можливості користування SSL (що технічно ніяк не обгрунувати) то треба ВЕЛИКИ червоними літерами написати на сторінці "переваг" що для користування SSL доведеться купувати виділений ІР за 25 грн в місяць, інакше це виходить просто "розвод" на гроші.
А що до SSL до його потрібно впровджувати всюди, так як без нього ні паролі Апача, ні паролі сайту не можуть бути захищені від перехоплення (вже не кажучи про інші дані). Тому дуже дивно що такий базовий і необхідний функціонал потрібно купувати за 25грн на місяць.
Евгений В.
11 років
0
Вы забываете о том, что обмен данными по протоколу SSL ведётся между двумя адресатами, определяемыми (подчеркиваю) уникальными IP-адресами.

А домен - это не конечный адрес, а лишь удобное представление IP-адреса сервера и для корректной работы именно по протоколу SSL в случае виртуального хостинга этот выделенный (читайте, уникальный) IP необходим.
rudenko
11 років
0
msie вы все верно описали, но не для SSL протокола. На один IP можно посадить только один сайт с SSL. Это технически обосновано в документации по HTTP и SSL. https соединение устанавливается ДО того, как на сервер начнут отправляться http заголовки, которые содержат имя домена. Следовательно определить к какому виртуальному хосту идет запрос и какой сертификат использовать невозможно. Разделять сертификаты можно только отдельными IP или отдельными портами сервера. Я думаю вариант с отдельными портами сервера никому не понравиться.
Относительно цены в 25 грн, это еще хорошая цена. Я в локальной сети за выделенный IP плачу 38 грн, некоторые провайдеры продают IP за 48 грн. А вообще цена высокая из-за того, что достать IP v4 - нереально, просто не выдают и все на этом. Было бы у нас много IP адресов, то раздавали бы их бесплатно. Хотите - можем ipv6 дать. У нас их 10 в седьмой степени (не шутка), только вот зайти на них проблема - провайдеры не поддерживают IPv6
binlab
11 років
1
Думаю варіант з окремим портом мені би підійшов, все одно це потрібно не для авторизації користувачів, а для адміністрування ітд. тобто в цілях забезпечити безпечне передавання пароля. А що до ціни на ІР я не кажу що це завищена ціна для виділеного ІР, просто наразі це фінансово не вигідно (фінансової вигоди поки що хостин і оренда домена не приносить), тому і розраховував на ціну за хостинг як прийнятну, і відсутність ссл накладає певні незручності. Хоча вже задумуюсь над виділеним сервером в майбутньому.
binlab
11 років
0
Так можна буде вирішити питання SSL в моєму випадку за допомогою окремого порту?
rudenko
11 років
0
В данный момент это сделать нельзя, так как в системе управления хостингом нет такой функции. Скорее удастся IPv6 начать использовать, чем сделать разброс пользователей по портам.
binlab
11 років
0
Ну давайте тоді спробую IPv6, мені ж головне при даних затратах отримати функціонал SSL.
rudenko
11 років
0
А у вашего провайдера IPv6 работает?
Тема закрита.