Question bete sur https/SSL

Le
Alain Montfranc
Bonjour

Question bête : pour héberger plusieurs sites sécurisés en https (sur
des NDD différents), une seule IP suffit elle ou faut il autant d'IP
que de site ?

J'ai le vague souvenir que (pour des certificats standards) il faut
plusieurs IP mais "on" me soutien le contraire Qui peut m'éclairer
avec, si possible, les bonne références (solides) ?

merci d'avance
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Erwan David
Le #2643831
Alain Montfranc
Bonjour

Question bête : pour héberger plusieurs sites sécurisés en https (sur
des NDD différents), une seule IP suffit elle ou faut il autant d'IP
que de site ?

J'ai le vague souvenir que (pour des certificats standards) il faut
plusieurs IP mais "on" me soutien le contraire... Qui peut m'éclairer
avec, si possible, les bonne références (solides) ?


Il faut plusieurs couples (IP,port).
Un starttls permettant de préciser le nom du serveur qu'on cherche à
contacter en HTTPS existe dans le protocole, mais pour l'isntant n'est pas
implémenté dans les clients (annoncé pour firefox 3). Je ne sais pas ce
qu'il en est côté serveur.


--
Le travail n'est pas une bonne chose. Si ça l'était,
les riches l'auraient accaparé

Paul Gaborit
Le #2645471
À (at) 09 Apr 2008 15:22:32 GMT,
Erwan David
Alain Montfranc
Bonjour

Question bête : pour héberger plusieurs sites sécurisés en https (sur
des NDD différents), une seule IP suffit elle ou faut il autant d'IP
que de site ?

J'ai le vague souvenir que (pour des certificats standards) il faut
plusieurs IP mais "on" me soutien le contraire... Qui peut m'éclairer
avec, si possible, les bonne références (solides) ?


Il faut plusieurs couples (IP,port).
Un starttls permettant de préciser le nom du serveur qu'on cherche à
contacter en HTTPS existe dans le protocole, mais pour l'isntant n'est pas
implémenté dans les clients (annoncé pour firefox 3). Je ne sais pas ce
qu'il en est côté serveur.


Si le couple IP:port est spécifique, on peut effectivement attaché des
certificats différents.

Si le couple IP:port est unique (pour plusieurs noms de site), je
crois me souvenir qu'on peut générer un certificat contenant le nom de
tous les alias. Mais cela nécessite d'une part de pouvoir fabriquer le
certificat soi-même et d'autre part, de le refabriquer à chaque
nouveau site hébergé sur ce couple IP:port.

--
Paul Gaborit -

Erwan David
Le #2645461
Paul Gaborit

Si le couple IP:port est unique (pour plusieurs noms de site), je
crois me souvenir qu'on peut générer un certificat contenant le nom de
tous les alias. Mais cela nécessite d'une part de pouvoir fabriquer le
certificat soi-même et d'autre part, de le refabriquer à chaque
nouveau site hébergé sur ce couple IP:port.


et de croiser les doigts pour que les clients aillent vérifier les
identités supplméentaires dans les extensions du certificat.

--
Le travail n'est pas une bonne chose. Si ça l'était,
les riches l'auraient accaparé

Paul Gaborit
Le #2645451
À (at) 09 Apr 2008 15:44:11 GMT,
Erwan David
Paul Gaborit

Si le couple IP:port est unique (pour plusieurs noms de site), je
crois me souvenir qu'on peut générer un certificat contenant le nom de
tous les alias. Mais cela nécessite d'une part de pouvoir fabriquer le
certificat soi-même et d'autre part, de le refabriquer à chaque
nouveau site hébergé sur ce couple IP:port.


et de croiser les doigts pour que les clients aillent vérifier les
identités supplméentaires dans les extensions du certificat.


Je n'ai essayé un certificat multi-noms qu'une seule fois et avec
firefox et thunderbird... Et ça marchait.

Est-ce qu'il y a beaucoup de navigateurs qui ne savent pas rechercher
ces identités supplémentaires ?

D'autre part, ce n'est pas complètement sécurisé puisqu'en fait ça ne
garantit pas l'identité du site. Ce dont est sûr, c'est que c'est bien
l'un des sites du certificat qui répond... Dans certains contextes,
c'est suffisant (une même entité qui gère plusieurs serveurs
virtuels). Dans d'autres contextes, c'est largement insuffisant
(serveurs virtuels de différentes entités hébergés sur une seule et
même machine).

--
Paul Gaborit -

Alain Montfranc
Le #2645441
Paul Gaborit a écrit
À (at) 09 Apr 2008 15:44:11 GMT,
Erwan David
Paul Gaborit

Si le couple IP:port est unique (pour plusieurs noms de site), je
crois me souvenir qu'on peut générer un certificat contenant le nom de
tous les alias. Mais cela nécessite d'une part de pouvoir fabriquer le
certificat soi-même et d'autre part, de le refabriquer à chaque
nouveau site hébergé sur ce couple IP:port.


et de croiser les doigts pour que les clients aillent vérifier les
identités supplméentaires dans les extensions du certificat.


Je n'ai essayé un certificat multi-noms qu'une seule fois et avec
firefox et thunderbird... Et ça marchait.

Est-ce qu'il y a beaucoup de navigateurs qui ne savent pas rechercher
ces identités supplémentaires ?

D'autre part, ce n'est pas complètement sécurisé puisqu'en fait ça ne
garantit pas l'identité du site. Ce dont est sûr, c'est que c'est bien
l'un des sites du certificat qui répond... Dans certains contextes,
c'est suffisant (une même entité qui gère plusieurs serveurs
virtuels). Dans d'autres contextes, c'est largement insuffisant
(serveurs virtuels de différentes entités hébergés sur une seule et
même machine).


Merci à tous. j'ai continué à chercher de mon côté. A priori c'est bien
dans les "TLS extensions" que Vista supporterait.

Avec le parc 2000/XP/98 installé on reparlera de ca dans une dizaine
d'années ;-) Et d'ici là IPv6 sera (peut être) arrivé et on arretera de
se triturer les méninges pour économiser 3 adresses :-D

Merci encore



Alain Montfranc
Le #2698941
Alain Montfranc a écrit
Bonjour

Question bête : pour héberger plusieurs sites sécurisés en https (sur des NDD
différents), une seule IP suffit elle ou faut il autant d'IP que de site ?

J'ai le vague souvenir que (pour des certificats standards) il faut plusieurs
IP mais "on" me soutien le contraire... Qui peut m'éclairer avec, si
possible, les bonne références (solides) ?

merci d'avance


Que pensez vous de
http://sweon.net/2008/01/hosting-multiple-ssl-vhosts-on-a-single-ipportcertificate-with-apache2

L'exemple me semble bien incomplet (pas de declaration des
certificats). J'ai l'impression que c'est une bidouille pour gerer
plusieurs hosts SSL ayant un meme certificat non ?

Merci

Publicité
Poster une réponse
Anonyme