Подтвердите, пожалуйста, или опровергните этот текст.
Один знакомый в штатах арендует сервер host.domain с адресом 1.2.3.4. На этом серваке в настоящий момент крутится один единственный сайт, который откликается на имя www.domain и domain. Естественно на этом сервере можно создать кучу name-based виртуальных серверов. И вот этот знакомый решил заняться электронной комерцией со всякими там кредитными карточками. Ему понадобился HTTPS и правильный сертификат для www.domain, который он решил купить на VeriSign.
Вот с этого места и начинаются странности. Хостеры, которые этот сервак держат, сказали этому человеку, что для этих целей ему нужен будет второй IP 5.6.7.8, потому как VeriSign не выдает сертификаты для name-based серверов а только для IP-based. Я в легком ступоре поскольку не понимаю какое отношение имеет сертификат для сайта к тому как он хостится? Просто такое чувство что с него просто сдирают деньги. Или это все-таки я чего-то не понимаю?
Топает твой друг на sun.com, берет там бесплатные SunONE IdentityServer и SunONE CertificateServer и делает сам какие хочет, кому хочет и когда хочет сертификаты. Естествено ВСЕ в яве и повозиться придется, но снимает любые вопросы с web-доступом.
>Топает твой друг на sun.com, берет там бесплатные SunONE IdentityServer и SunONE
>CertificateServer и делает сам какие хочет, кому хочет и когда хочет
>сертификаты. Естествено ВСЕ в яве и повозиться придется, но снимает любые
>вопросы с web-доступом.
Здесь вопрос имеено в идеологии сомой работы. Сертификат сваять (вот только никем не подписаный :)) я и сам могу.
Есть у меня некая мыслишка.Если IP 1.2.3.4 принадлежит провайдеру, у коего Ваш знакомый
арендует хостинг, то написанный текст, похоже, соответствует
действительности. Сердификаты сайта *действительно* должны
цепляться к IP, поскольку в противном случае возможна масса
дополнительных трюков, обманывающих систему безопасности.
Понятно нежелание провайдера отдавать Вашему знакомому
право на использование сертификата, удостоверяющего,
фактически, не ему принадлежащий IP, и политика VeriSign,
которая отдает подписанные CA сертификаты только легальному
владельцу соответствующего IP.Красота требует жертв. Бизнес ещё прожорливее.
>Есть у меня некая мыслишка.
>
>Если IP 1.2.3.4 принадлежит провайдеру, у коего Ваш знакомый
>арендует хостинг, то написанный текст, похоже, соответствует
>действительности. Сердификаты сайта *действительно* должны
>цепляться к IP, поскольку в противном случае возможна масса
>дополнительных трюков, обманывающих систему безопасности.
>Понятно нежелание провайдера отдавать Вашему знакомому
>право на использование сертификата, удостоверяющего,
>фактически, не ему принадлежащий IP, и политика VeriSign,
>которая отдает подписанные CA сертификаты только легальному
>владельцу соответствующего IP.
>
>Красота требует жертв. Бизнес ещё прожорливее.Ну если это еще кто-нибудь подтверждает кроме тех хостеров, то будем думать что это похоже на правду.
Балуясь в тестовых целях с сертификатами, выписывая их самостоятельно и подписывая их своим собстенным сертификатом, прикидываясь крутым CA :), я совсем не нашел там никаких упоминаний про IP-адрес, только доменное имя.
Видимо я не все в этой области знаю... :( Есть ссылочка, чтобы прочитать про это подробнее?
>Ну если это еще кто-нибудь подтверждает кроме тех хостеров, то
>будем думать что это похоже на правду.
>Балуясь в тестовых целях с сертификатами, выписывая их самостоятельно
>и подписывая их своим собстенным сертификатом, прикидываясь
>крутым CA :), я совсем не нашел там никаких упоминаний про IP-адрес,
>только доменное имя.
>Видимо я не все в этой области знаю... :( Есть ссылочка, чтобы
>прочитать про это подробнее?Полез я из любопытства во всякие разные доки, и, к собственному
удивлению, обнаружил, что сертификаты *действительно* цепляются
на имя домена. Надо отметить, что всё это создаёт некие любопытные
возможности для рукастых и не слишком щепетливых людей... Ну да я
не о том. Вынужден извиниться за свое предыдущее сообщеньице.
Неправду написал по незнанию. Рекомендую некую незатейливую
и достаточно краткую статейку:
http://www.openna.com/documentations/articles/apache/part7.phpВследствие сих открытий возникает у меня такой вопрос: а зачем
вообще Ваш знакомый начал спрашивать чего-то про сертификат
у своего провайдера? Если сервачок в достаточной степени
подконтролен (на уровне администрирования Apache или чего
там установлено), можно (как получается) все эти SSL-дела
провернуть тихо и без лишних посредников. Ну а если господа
провайдеры решили сыграть на неграмотности оного знакомого,
которую я чуть было не взялся подтверждать ;(, то самое время
таким господам дать в репу.
Сабж! Дайте ктонить плиз. Ломает компилять -- я под Win32.
Поправьте, если я не прав, вариант работы HTTPS:
соединение устанавливается на конкретный ИП порт 443,
клиент и сервер обмениваются необходимыми ключами,
устанавливается SSL соединение,
а вот только тут начинается обмен данными (о домене, о сайте ...)также работает SMTPS, POP3S ...
отличается только STARTTLS которое работает по 25 порту, но тут именно доработка протокола SMTP, введена команда STARTTLS, для HTTP на сколько я знаю такого нет.Таким образом, если на одном ИП висит несколько сайтов, то при HTTPS ключ будет браться только от одного сайта (а точнее у того который первый в списке) и если приятелю нужен HTTPS со своим ключем то ему и нужен свой ИП.
насколько я понимаю к каждому IP адресу должен быть привязан СВОЙ сертефикат, т.е. каждый виртуальный хост на сервере, которому соответствует свой айпи адрес долджен иметь свой сертефикат
другой вопрос кто поверит серетефикатам подписанным вашим "другом"
>насколько я понимаю к каждому IP адресу должен быть привязан СВОЙ сертефикат,
Не СВОЙ сертификат а только ОДИН сертификат, сертификат не привязывается к IP он привязывается к имени хоста, но одновременно на одном IP для какого либо из сервисов должен быть только один сертификат. Один для HTTPS, один для POP3S ... причем сертификаты для разных сервисов могут быть разными. Не может быть такого чтобы на одном IP было два разных сертификата для HTTPS сервиса.
<a href="http://strict.spb.ru/ssl.html">http://strict.spb.ru/...
>Подтвердите, пожалуйста, или опровергните этот текст.
>Один знакомый в штатах арендует сервер host.domain с адресом 1.2.3.4. На этом>IP 5.6.7.8, потому как VeriSign не выдает сертификаты для name-based серверов
> а только для IP-based. Я в легком ступоре поскольку неТут дело не "с той стороны рассматривается". Просто HTTPS не "виртуализируется":
http://www.modssl.org/docs/2.5/ssl_faq.html#vhosts
>понимаю какое отношение имеет сертификат для сайта к тому как он
>хостится? Просто такое чувство что с него просто сдирают деньги. Или
>это все-таки я чего-то не понимаю?/poige
--
http://www.i.morning.ru/~poige/
Предположим, а апач с name based hosting.Мне приваливает запрос
от автора флейма https://site1.com
Одновременно с этим приваливает запрос на
https://site2.comСертификат должен совпадать с СN на которое он выписан.
Это значит, что сессия не может начаться, потому что невозможно отделить
один запрос от другого-непонятно, до включения encryption узнать
какой сертификат сервера/СN использовать. Сам в свое время жестоко накололся.Так что - один ip - один сервер.
А насчет имен-адресов, существуют реализации DNSsec.Кроме этого-как раз для этого и существует механизм СА,чтобы хакер не получил
заверенный сертификат M$ ,пригодный для подписи чего-либо...