Question bête : pour héberger plusieurs sites sécurisés en https (sur
des NDD différents), une seule IP suffit elle ou faut il autant d'IP
que de site ?
J'ai le vague souvenir que (pour des certificats standards) il faut
plusieurs IP mais "on" me soutien le contraire... Qui peut m'éclairer
avec, si possible, les bonne références (solides) ?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Erwan David
Alain Montfranc écrivait :
Bonjour
Question bête : pour héberger plusieurs sites sécurisés en https (sur des NDD différents), une seule IP suffit elle ou faut il autant d'IP que de site ?
J'ai le vague souvenir que (pour des certificats standards) il faut plusieurs IP mais "on" me soutien le contraire... Qui peut m'éclairer avec, si possible, les bonne références (solides) ?
Il faut plusieurs couples (IP,port). Un starttls permettant de préciser le nom du serveur qu'on cherche à contacter en HTTPS existe dans le protocole, mais pour l'isntant n'est pas implémenté dans les clients (annoncé pour firefox 3). Je ne sais pas ce qu'il en est côté serveur.
-- Le travail n'est pas une bonne chose. Si ça l'était, les riches l'auraient accaparé
Alain Montfranc <x@x.con> écrivait :
Bonjour
Question bête : pour héberger plusieurs sites sécurisés en https (sur
des NDD différents), une seule IP suffit elle ou faut il autant d'IP
que de site ?
J'ai le vague souvenir que (pour des certificats standards) il faut
plusieurs IP mais "on" me soutien le contraire... Qui peut m'éclairer
avec, si possible, les bonne références (solides) ?
Il faut plusieurs couples (IP,port).
Un starttls permettant de préciser le nom du serveur qu'on cherche à
contacter en HTTPS existe dans le protocole, mais pour l'isntant n'est pas
implémenté dans les clients (annoncé pour firefox 3). Je ne sais pas ce
qu'il en est côté serveur.
--
Le travail n'est pas une bonne chose. Si ça l'était,
les riches l'auraient accaparé
Question bête : pour héberger plusieurs sites sécurisés en https (sur des NDD différents), une seule IP suffit elle ou faut il autant d'IP que de site ?
J'ai le vague souvenir que (pour des certificats standards) il faut plusieurs IP mais "on" me soutien le contraire... Qui peut m'éclairer avec, si possible, les bonne références (solides) ?
Il faut plusieurs couples (IP,port). Un starttls permettant de préciser le nom du serveur qu'on cherche à contacter en HTTPS existe dans le protocole, mais pour l'isntant n'est pas implémenté dans les clients (annoncé pour firefox 3). Je ne sais pas ce qu'il en est côté serveur.
-- Le travail n'est pas une bonne chose. Si ça l'était, les riches l'auraient accaparé
Paul Gaborit
À (at) 09 Apr 2008 15:22:32 GMT, Erwan David écrivait (wrote):
Alain Montfranc écrivait :
Bonjour
Question bête : pour héberger plusieurs sites sécurisés en https (sur des NDD différents), une seule IP suffit elle ou faut il autant d'IP que de site ?
J'ai le vague souvenir que (pour des certificats standards) il faut plusieurs IP mais "on" me soutien le contraire... Qui peut m'éclairer avec, si possible, les bonne références (solides) ?
Il faut plusieurs couples (IP,port). Un starttls permettant de préciser le nom du serveur qu'on cherche à contacter en HTTPS existe dans le protocole, mais pour l'isntant n'est pas implémenté dans les clients (annoncé pour firefox 3). Je ne sais pas ce qu'il en est côté serveur.
Si le couple IP:port est spécifique, on peut effectivement attaché des certificats différents.
Si le couple IP:port est unique (pour plusieurs noms de site), je crois me souvenir qu'on peut générer un certificat contenant le nom de tous les alias. Mais cela nécessite d'une part de pouvoir fabriquer le certificat soi-même et d'autre part, de le refabriquer à chaque nouveau site hébergé sur ce couple IP:port.
-- Paul Gaborit - <http://perso.enstimac.fr/~gaborit/>
À (at) 09 Apr 2008 15:22:32 GMT,
Erwan David <erwan@rail.eu.org> écrivait (wrote):
Alain Montfranc <x@x.con> écrivait :
Bonjour
Question bête : pour héberger plusieurs sites sécurisés en https (sur
des NDD différents), une seule IP suffit elle ou faut il autant d'IP
que de site ?
J'ai le vague souvenir que (pour des certificats standards) il faut
plusieurs IP mais "on" me soutien le contraire... Qui peut m'éclairer
avec, si possible, les bonne références (solides) ?
Il faut plusieurs couples (IP,port).
Un starttls permettant de préciser le nom du serveur qu'on cherche à
contacter en HTTPS existe dans le protocole, mais pour l'isntant n'est pas
implémenté dans les clients (annoncé pour firefox 3). Je ne sais pas ce
qu'il en est côté serveur.
Si le couple IP:port est spécifique, on peut effectivement attaché des
certificats différents.
Si le couple IP:port est unique (pour plusieurs noms de site), je
crois me souvenir qu'on peut générer un certificat contenant le nom de
tous les alias. Mais cela nécessite d'une part de pouvoir fabriquer le
certificat soi-même et d'autre part, de le refabriquer à chaque
nouveau site hébergé sur ce couple IP:port.
--
Paul Gaborit - <http://perso.enstimac.fr/~gaborit/>
À (at) 09 Apr 2008 15:22:32 GMT, Erwan David écrivait (wrote):
Alain Montfranc écrivait :
Bonjour
Question bête : pour héberger plusieurs sites sécurisés en https (sur des NDD différents), une seule IP suffit elle ou faut il autant d'IP que de site ?
J'ai le vague souvenir que (pour des certificats standards) il faut plusieurs IP mais "on" me soutien le contraire... Qui peut m'éclairer avec, si possible, les bonne références (solides) ?
Il faut plusieurs couples (IP,port). Un starttls permettant de préciser le nom du serveur qu'on cherche à contacter en HTTPS existe dans le protocole, mais pour l'isntant n'est pas implémenté dans les clients (annoncé pour firefox 3). Je ne sais pas ce qu'il en est côté serveur.
Si le couple IP:port est spécifique, on peut effectivement attaché des certificats différents.
Si le couple IP:port est unique (pour plusieurs noms de site), je crois me souvenir qu'on peut générer un certificat contenant le nom de tous les alias. Mais cela nécessite d'une part de pouvoir fabriquer le certificat soi-même et d'autre part, de le refabriquer à chaque nouveau site hébergé sur ce couple IP:port.
-- Paul Gaborit - <http://perso.enstimac.fr/~gaborit/>
Erwan David
Paul Gaborit écrivait :
Si le couple IP:port est unique (pour plusieurs noms de site), je crois me souvenir qu'on peut générer un certificat contenant le nom de tous les alias. Mais cela nécessite d'une part de pouvoir fabriquer le certificat soi-même et d'autre part, de le refabriquer à chaque nouveau site hébergé sur ce couple IP:port.
et de croiser les doigts pour que les clients aillent vérifier les identités supplméentaires dans les extensions du certificat.
-- Le travail n'est pas une bonne chose. Si ça l'était, les riches l'auraient accaparé
Paul Gaborit <Paul.Gaborit@invalid.invalid> écrivait :
Si le couple IP:port est unique (pour plusieurs noms de site), je
crois me souvenir qu'on peut générer un certificat contenant le nom de
tous les alias. Mais cela nécessite d'une part de pouvoir fabriquer le
certificat soi-même et d'autre part, de le refabriquer à chaque
nouveau site hébergé sur ce couple IP:port.
et de croiser les doigts pour que les clients aillent vérifier les
identités supplméentaires dans les extensions du certificat.
--
Le travail n'est pas une bonne chose. Si ça l'était,
les riches l'auraient accaparé
Si le couple IP:port est unique (pour plusieurs noms de site), je crois me souvenir qu'on peut générer un certificat contenant le nom de tous les alias. Mais cela nécessite d'une part de pouvoir fabriquer le certificat soi-même et d'autre part, de le refabriquer à chaque nouveau site hébergé sur ce couple IP:port.
et de croiser les doigts pour que les clients aillent vérifier les identités supplméentaires dans les extensions du certificat.
-- Le travail n'est pas une bonne chose. Si ça l'était, les riches l'auraient accaparé
Paul Gaborit
À (at) 09 Apr 2008 15:44:11 GMT, Erwan David écrivait (wrote):
Paul Gaborit écrivait :
Si le couple IP:port est unique (pour plusieurs noms de site), je crois me souvenir qu'on peut générer un certificat contenant le nom de tous les alias. Mais cela nécessite d'une part de pouvoir fabriquer le certificat soi-même et d'autre part, de le refabriquer à chaque nouveau site hébergé sur ce couple IP:port.
et de croiser les doigts pour que les clients aillent vérifier les identités supplméentaires dans les extensions du certificat.
Je n'ai essayé un certificat multi-noms qu'une seule fois et avec firefox et thunderbird... Et ça marchait.
Est-ce qu'il y a beaucoup de navigateurs qui ne savent pas rechercher ces identités supplémentaires ?
D'autre part, ce n'est pas complètement sécurisé puisqu'en fait ça ne garantit pas l'identité du site. Ce dont est sûr, c'est que c'est bien l'un des sites du certificat qui répond... Dans certains contextes, c'est suffisant (une même entité qui gère plusieurs serveurs virtuels). Dans d'autres contextes, c'est largement insuffisant (serveurs virtuels de différentes entités hébergés sur une seule et même machine).
-- Paul Gaborit - <http://perso.enstimac.fr/~gaborit/>
À (at) 09 Apr 2008 15:44:11 GMT,
Erwan David <erwan@rail.eu.org> écrivait (wrote):
Paul Gaborit <Paul.Gaborit@invalid.invalid> écrivait :
Si le couple IP:port est unique (pour plusieurs noms de site), je
crois me souvenir qu'on peut générer un certificat contenant le nom de
tous les alias. Mais cela nécessite d'une part de pouvoir fabriquer le
certificat soi-même et d'autre part, de le refabriquer à chaque
nouveau site hébergé sur ce couple IP:port.
et de croiser les doigts pour que les clients aillent vérifier les
identités supplméentaires dans les extensions du certificat.
Je n'ai essayé un certificat multi-noms qu'une seule fois et avec
firefox et thunderbird... Et ça marchait.
Est-ce qu'il y a beaucoup de navigateurs qui ne savent pas rechercher
ces identités supplémentaires ?
D'autre part, ce n'est pas complètement sécurisé puisqu'en fait ça ne
garantit pas l'identité du site. Ce dont est sûr, c'est que c'est bien
l'un des sites du certificat qui répond... Dans certains contextes,
c'est suffisant (une même entité qui gère plusieurs serveurs
virtuels). Dans d'autres contextes, c'est largement insuffisant
(serveurs virtuels de différentes entités hébergés sur une seule et
même machine).
--
Paul Gaborit - <http://perso.enstimac.fr/~gaborit/>
À (at) 09 Apr 2008 15:44:11 GMT, Erwan David écrivait (wrote):
Paul Gaborit écrivait :
Si le couple IP:port est unique (pour plusieurs noms de site), je crois me souvenir qu'on peut générer un certificat contenant le nom de tous les alias. Mais cela nécessite d'une part de pouvoir fabriquer le certificat soi-même et d'autre part, de le refabriquer à chaque nouveau site hébergé sur ce couple IP:port.
et de croiser les doigts pour que les clients aillent vérifier les identités supplméentaires dans les extensions du certificat.
Je n'ai essayé un certificat multi-noms qu'une seule fois et avec firefox et thunderbird... Et ça marchait.
Est-ce qu'il y a beaucoup de navigateurs qui ne savent pas rechercher ces identités supplémentaires ?
D'autre part, ce n'est pas complètement sécurisé puisqu'en fait ça ne garantit pas l'identité du site. Ce dont est sûr, c'est que c'est bien l'un des sites du certificat qui répond... Dans certains contextes, c'est suffisant (une même entité qui gère plusieurs serveurs virtuels). Dans d'autres contextes, c'est largement insuffisant (serveurs virtuels de différentes entités hébergés sur une seule et même machine).
-- Paul Gaborit - <http://perso.enstimac.fr/~gaborit/>
Alain Montfranc
Paul Gaborit a écrit
À (at) 09 Apr 2008 15:44:11 GMT, Erwan David écrivait (wrote):
Paul Gaborit écrivait :
Si le couple IP:port est unique (pour plusieurs noms de site), je crois me souvenir qu'on peut générer un certificat contenant le nom de tous les alias. Mais cela nécessite d'une part de pouvoir fabriquer le certificat soi-même et d'autre part, de le refabriquer à chaque nouveau site hébergé sur ce couple IP:port.
et de croiser les doigts pour que les clients aillent vérifier les identités supplméentaires dans les extensions du certificat.
Je n'ai essayé un certificat multi-noms qu'une seule fois et avec firefox et thunderbird... Et ça marchait.
Est-ce qu'il y a beaucoup de navigateurs qui ne savent pas rechercher ces identités supplémentaires ?
D'autre part, ce n'est pas complètement sécurisé puisqu'en fait ça ne garantit pas l'identité du site. Ce dont est sûr, c'est que c'est bien l'un des sites du certificat qui répond... Dans certains contextes, c'est suffisant (une même entité qui gère plusieurs serveurs virtuels). Dans d'autres contextes, c'est largement insuffisant (serveurs virtuels de différentes entités hébergés sur une seule et même machine).
Merci à tous. j'ai continué à chercher de mon côté. A priori c'est bien dans les "TLS extensions" que Vista supporterait.
Avec le parc 2000/XP/98 installé on reparlera de ca dans une dizaine d'années ;-) Et d'ici là IPv6 sera (peut être) arrivé et on arretera de se triturer les méninges pour économiser 3 adresses :-D
Merci encore
Paul Gaborit a écrit
À (at) 09 Apr 2008 15:44:11 GMT,
Erwan David <erwan@rail.eu.org> écrivait (wrote):
Paul Gaborit <Paul.Gaborit@invalid.invalid> écrivait :
Si le couple IP:port est unique (pour plusieurs noms de site), je
crois me souvenir qu'on peut générer un certificat contenant le nom de
tous les alias. Mais cela nécessite d'une part de pouvoir fabriquer le
certificat soi-même et d'autre part, de le refabriquer à chaque
nouveau site hébergé sur ce couple IP:port.
et de croiser les doigts pour que les clients aillent vérifier les
identités supplméentaires dans les extensions du certificat.
Je n'ai essayé un certificat multi-noms qu'une seule fois et avec
firefox et thunderbird... Et ça marchait.
Est-ce qu'il y a beaucoup de navigateurs qui ne savent pas rechercher
ces identités supplémentaires ?
D'autre part, ce n'est pas complètement sécurisé puisqu'en fait ça ne
garantit pas l'identité du site. Ce dont est sûr, c'est que c'est bien
l'un des sites du certificat qui répond... Dans certains contextes,
c'est suffisant (une même entité qui gère plusieurs serveurs
virtuels). Dans d'autres contextes, c'est largement insuffisant
(serveurs virtuels de différentes entités hébergés sur une seule et
même machine).
Merci à tous. j'ai continué à chercher de mon côté. A priori c'est bien
dans les "TLS extensions" que Vista supporterait.
Avec le parc 2000/XP/98 installé on reparlera de ca dans une dizaine
d'années ;-) Et d'ici là IPv6 sera (peut être) arrivé et on arretera de
se triturer les méninges pour économiser 3 adresses :-D
À (at) 09 Apr 2008 15:44:11 GMT, Erwan David écrivait (wrote):
Paul Gaborit écrivait :
Si le couple IP:port est unique (pour plusieurs noms de site), je crois me souvenir qu'on peut générer un certificat contenant le nom de tous les alias. Mais cela nécessite d'une part de pouvoir fabriquer le certificat soi-même et d'autre part, de le refabriquer à chaque nouveau site hébergé sur ce couple IP:port.
et de croiser les doigts pour que les clients aillent vérifier les identités supplméentaires dans les extensions du certificat.
Je n'ai essayé un certificat multi-noms qu'une seule fois et avec firefox et thunderbird... Et ça marchait.
Est-ce qu'il y a beaucoup de navigateurs qui ne savent pas rechercher ces identités supplémentaires ?
D'autre part, ce n'est pas complètement sécurisé puisqu'en fait ça ne garantit pas l'identité du site. Ce dont est sûr, c'est que c'est bien l'un des sites du certificat qui répond... Dans certains contextes, c'est suffisant (une même entité qui gère plusieurs serveurs virtuels). Dans d'autres contextes, c'est largement insuffisant (serveurs virtuels de différentes entités hébergés sur une seule et même machine).
Merci à tous. j'ai continué à chercher de mon côté. A priori c'est bien dans les "TLS extensions" que Vista supporterait.
Avec le parc 2000/XP/98 installé on reparlera de ca dans une dizaine d'années ;-) Et d'ici là IPv6 sera (peut être) arrivé et on arretera de se triturer les méninges pour économiser 3 adresses :-D
Merci encore
Alain Montfranc
Alain Montfranc a écrit
Bonjour
Question bête : pour héberger plusieurs sites sécurisés en https (sur des NDD différents), une seule IP suffit elle ou faut il autant d'IP que de site ?
J'ai le vague souvenir que (pour des certificats standards) il faut plusieurs IP mais "on" me soutien le contraire... Qui peut m'éclairer avec, si possible, les bonne références (solides) ?
merci d'avance
Que pensez vous de http://sweon.net/2008/01/hosting-multiple-ssl-vhosts-on-a-single-ipportcertificate-with-apache2
L'exemple me semble bien incomplet (pas de declaration des certificats). J'ai l'impression que c'est une bidouille pour gerer plusieurs hosts SSL ayant un meme certificat non ?
Merci
Alain Montfranc a écrit
Bonjour
Question bête : pour héberger plusieurs sites sécurisés en https (sur des NDD
différents), une seule IP suffit elle ou faut il autant d'IP que de site ?
J'ai le vague souvenir que (pour des certificats standards) il faut plusieurs
IP mais "on" me soutien le contraire... Qui peut m'éclairer avec, si
possible, les bonne références (solides) ?
merci d'avance
Que pensez vous de
http://sweon.net/2008/01/hosting-multiple-ssl-vhosts-on-a-single-ipportcertificate-with-apache2
L'exemple me semble bien incomplet (pas de declaration des
certificats). J'ai l'impression que c'est une bidouille pour gerer
plusieurs hosts SSL ayant un meme certificat non ?
Question bête : pour héberger plusieurs sites sécurisés en https (sur des NDD différents), une seule IP suffit elle ou faut il autant d'IP que de site ?
J'ai le vague souvenir que (pour des certificats standards) il faut plusieurs IP mais "on" me soutien le contraire... Qui peut m'éclairer avec, si possible, les bonne références (solides) ?
merci d'avance
Que pensez vous de http://sweon.net/2008/01/hosting-multiple-ssl-vhosts-on-a-single-ipportcertificate-with-apache2
L'exemple me semble bien incomplet (pas de declaration des certificats). J'ai l'impression que c'est une bidouille pour gerer plusieurs hosts SSL ayant un meme certificat non ?