最近、共有ホスティングプロバイダーに連絡して、いくつかのサイトのプライベートSSLを設定しました。同じプランでホストされているサイトがいくつかあります(このプランでは無制限のドメインが許可されています)。ただし、共有ホスティングであり、最終的に各サイトは同じIPアドレスから実行されるため、単一の証明書のみをインストールし、1つのサイトのみを保護できると言われました(各証明書には専用IPが必要なため)。
彼らが私に与えた他のオプションは、共有証明書を使用することでした。ブラウザは証明書の警告を生成するため、これは受け入れられません。私の質問は、これは共有ホスティングプロバイダーの典型的なものですか、それとも複数のプライベート証明書を許可するものを見つけることができますか?現在、いくつかのサイトを開発していますが、コストを最小限に抑えたいため、まだVPSまたは専用ホスティングにアップグレードしていません。ありがとう。
回答:
共有ホスティングプロバイダーから提供される情報は確かに正確でした。
SSLベースのトラフィックは、最初のSSLハンドシェイクと暗号化された接続を確立できるように、単一のIPアドレスにバインドする必要があります。これはすべて、要求されたURIがWebサーバーに提示される前に行われます。このため、各IPアドレスにバインドできる証明書は1つだけです。SSL証明書のインストールを妨げる単一のIPアドレスにバインドされた無制限のドメインを持つことができます。
多くの共有プロバイダーでは、特定の共有ホスティングプランで追加のIPアドレスを支払うことで、SSL証明書の利用を許可できます。プロバイダーが実際にこれを提供している場合がありますが、これはより高度なサービスと見なされ、よりシンプルなホスティングプランでは利用できない可能性があるため、別のプランでのみ利用可能です。
編集:この質問は、2009年の回答(下記)が正しかったときのものです。人々が今この情報に遭遇した場合、それは多かれ少なかれ無関係です。
問題はSSLについてであり、SSLについて述べた制限は今でも正しいです。ただし、誰もが現在TLSを使用しており、サーバー名表示(SNI)が広く利用可能であり、まさにこの問題を解決しています。もちろん、引き続きワイルドカード証明書を使用できますが、TLSホストごとに個別の証明書も使用できます。
これは、元の2009年の質問の状況では助けにはなりませんが、2015年の編集時により関連性があるように回答を更新します
2009年の元の回答:
IPごとに1つのhttpsエンドポイントに関する情報は正しいです。このプロトコルでは、クライアントとサーバーがURLをネゴシエートする前に暗号化が開始されます。これは、VirtualHostsがSSLを有効にするために必要です。キー/証明書は、1つのIPで複数の証明書を設定するためのURL(別名ホスト名)に依存しますが、サーバーが接続するURLを認識する前に使用されます。
このプロトコルは現在作業中であることを理解していますが、現在のところこの問題の解決策はありません。少なくとも一般には利用できません。
更新:自分でIPを1つしか取得できない場合は、ワイルドカード証明書を使用できます。基本的には、www.example.comではなく* .example.comのIDを認証するため、ブラウザーで警告を生成することなく、複数のホストが同じIPを共有できます。
SNIを実装するApache 2.2.12を使用している場合、証明書ごとに1つのアドレスは不要になりました。これが共有ホスティングで利用できるようになることを願っています。
https://www.digicert.com/ssl-support/apache-multiple-ssl-certificates-using-sni.htm
複数のIPを提供する共有ホストを見つけることができれば、複数の証明書を取得できますが、共有されない限り、同じIPアドレスに複数の証明書を実際に配置することはできません。
より費用対効果の高いものが必要な場合(および独自の構成作業を少し行うことを恐れない場合)、ラックスペースクラウド(以前のEC2に似たMossoを少しだけ安くすることができます...理論的には月に約15ドルで開発サーバーを実行します):http : //www.rackspacecloud.com
[更新]コメントするにはまだ十分な担当者がいませんが、下記のように、ドメインのすべてのサブドメイン(www.example.comを含む* .example.com)で有効なワイルドカード証明書を技術的に取得できます。ただし、これは複数のドメインでは機能しません。Olafが説明した理由により、複数のIPアドレスが必要になります。
これは現時点ではそれほど有用な答えではありませんが、将来的には、TLSプロトコルの拡張機能を使用してTLSハンドシェイクの一部としてサーバー名を送信するServer Name Indicationを使用できるようになります。RFC3546で指定されています。残念ながら、あまりサポートされていません。OpenSSLは、5か月前にリリースされた0.9.8jまでデフォルトで有効になりません。Windows XP上のIEはサポートしていませんが、Vistaではサポートしています。また、IISはそれをまったくサポートしていません。XP上のすべてのユーザーが姿を消し、ホスティングプロバイダーがサーバーをアップグレードするまで、それについてできることはあまりありません。
単一のIPに対して複数のSSL証明書を使用できないことは事実です。
ただし、domain1.example.org domain2.example.comなどに有効な証明書を取得することは技術的には可能です...
ホストは、専用IPを持つことを許可していませんか。共有ホスティングが専用IPであるプランを購入できるホストを見つけることができるはずです。たとえば、現在、Server Intellect www.serverintellect.comでこれを行っています。基本的に、必要な専用IPごとに小額の料金を請求するだけです。
IPエイリアスを使用して、単一の専用ホストに複数のSSL証明書を正常に展開しました。共有ホスティングプランでこれをどのように使用できるか、または使用する必要があるかについては答えられません。IBM Developerworksに関するこの記事は非常に有益であることがわかりました。